refactor(aegis): 重构 Extractor/Verifier/Decryptor 架构，清晰化职责边界 (#31)

Author: heliannuuthus

CLAUDE.md

@@ -75,6 +75,7 @@ main.go + wire.go
 ```
 
 **关键约束**：
+
 - Aegis 不直接访问数据库，所有数据通过 Hermes 服务获取
 - Hermes 的 `models/` 是公开包（aegis 和 iris 依赖其数据类型）
 - Zwei 的 `internal/models/` 是内部包（仅 zwei 使用）
@@ -199,17 +200,17 @@ if req.ExpiresAt.IsPresent() {
 
 ### 必须使用 antd 组件替代原生 HTML 元素
 
-| 原生 HTML | antd 替代 | 说明 |
-| --- | --- | --- |
-| `<button>` | `Button` | 所有按钮必须使用 antd Button，根据场景选择 type（primary/default/text/link） |
-| `<input>` | `Input` / `Input.TextArea` / `InputNumber` | 表单输入统一用 antd Input 系列 |
-| `<select>` / `<option>` | `Select` | 下拉选择器 |
-| `<table>` | `Table` | 数据表格 |
-| `<form>` | `Form` + `Form.Item` | 表单容器 |
-| `<img>` | `Image` | 图片展示，支持预览、加载状态、错误处理 |
-| 加载占位 `<div>加载中...</div>` | `Spin` | 加载状态统一使用 Spin |
-| `<input type="checkbox">` | `Checkbox` | 复选框 |
-| `<input type="radio">` | `Radio` | 单选框 |
+| 原生 HTML                       | antd 替代                                  | 说明                                                                         |
+| ------------------------------- | ------------------------------------------ | ---------------------------------------------------------------------------- |
+| `<button>`                      | `Button`                                   | 所有按钮必须使用 antd Button，根据场景选择 type（primary/default/text/link） |
+| `<input>`                       | `Input` / `Input.TextArea` / `InputNumber` | 表单输入统一用 antd Input 系列                                               |
+| `<select>` / `<option>`         | `Select`                                   | 下拉选择器                                                                   |
+| `<table>`                       | `Table`                                    | 数据表格                                                                     |
+| `<form>`                        | `Form` + `Form.Item`                       | 表单容器                                                                     |
+| `<img>`                         | `Image`                                    | 图片展示，支持预览、加载状态、错误处理                                       |
+| 加载占位 `<div>加载中...</div>` | `Spin`                                     | 加载状态统一使用 Spin                                                        |
+| `<input type="checkbox">`       | `Checkbox`                                 | 复选框                                                                       |
+| `<input type="radio">`          | `Radio`                                    | 单选框                                                                       |
 
 ### 允许保留原生 HTML 的场景
 

aegis/init.go

@@ -63,7 +63,7 @@ func Initialize(hermesSvc *hermes.Service, userSvc *hermes.UserService, credenti
 	}
 
 	// 域密钥：clientID → domain.Main（id="aegis" 时返回 SSO master key）
-	domainKeyProvider := key.LoadKeysFunc(func(ctx context.Context, clientID string) ([][]byte, error) {
+	domainKeyProvider := key.MultiOf(func(ctx context.Context, clientID string) ([][]byte, error) {
 		if clientID == token.SSOIssuer {
 			return ssoMasterKeyFetcher()
 		}
@@ -79,7 +79,7 @@ func Initialize(hermesSvc *hermes.Service, userSvc *hermes.UserService, credenti
 	})
 
 	// 服务密钥：audience → service.Key（id="aegis" 时返回 SSO master key）
-	serviceKeyProvider := key.LoadKeysFunc(func(ctx context.Context, audience string) ([][]byte, error) {
+	serviceKeyProvider := key.MultiOf(func(ctx context.Context, audience string) ([][]byte, error) {
 		if audience == token.SSOAudience {
 			return ssoMasterKeyFetcher()
 		}
@@ -91,7 +91,7 @@ func Initialize(hermesSvc *hermes.Service, userSvc *hermes.UserService, credenti
 	})
 
 	// 应用密钥：clientID → app.Key
-	appKeyProvider := key.LoadKeysFunc(func(ctx context.Context, clientID string) ([][]byte, error) {
+	appKeyProvider := key.MultiOf(func(ctx context.Context, clientID string) ([][]byte, error) {
 		app, err := cacheManager.GetApplication(ctx, clientID)
 		if err != nil {
 			return nil, fmt.Errorf("get application: %w", err)

aegis/internal/token/service.go

@@ -13,7 +13,6 @@ import (
 	"github.com/heliannuuthus/helios/pkg/aegis/key"
 	pkgtoken "github.com/heliannuuthus/helios/pkg/aegis/token"
 	tokendef "github.com/heliannuuthus/helios/pkg/aegis/utils/token"
-	"github.com/heliannuuthus/helios/pkg/logger"
 )
 
 // Service is the token service that handles issuing and verifying all token types.
@@ -26,10 +25,9 @@ type Service struct {
 	appKeyProvider     key.Provider // clientID → app.Key
 
 	domainSigners     map[string]*Signer
-	domainVerifiers   map[string]*pkgtoken.Verifier
 	serviceEncryptors map[string]*Encryptor
-	serviceDecryptors map[string]*pkgtoken.Decryptor
-	appVerifiers      map[string]*pkgtoken.Verifier
+	domainDecryptors  map[string]*pkgtoken.Decryptor // audience → Decryptor (signKey=domain, encryptKey=service)
+	appDecryptor      *pkgtoken.Decryptor            // CAT 专用（signKey=app, 只验签, encryptKey=nil）
 	mu                sync.RWMutex
 }
 
@@ -46,10 +44,9 @@ func NewService(
 		serviceKeyProvider: serviceKeyProvider,
 		appKeyProvider:     appKeyProvider,
 		domainSigners:      make(map[string]*Signer),
-		domainVerifiers:    make(map[string]*pkgtoken.Verifier),
 		serviceEncryptors:  make(map[string]*Encryptor),
-		serviceDecryptors:  make(map[string]*pkgtoken.Decryptor),
-		appVerifiers:       make(map[string]*pkgtoken.Verifier),
+		domainDecryptors:   make(map[string]*pkgtoken.Decryptor),
+		appDecryptor:       pkgtoken.NewDecryptor("", nil, appKeyProvider),
 	}
 }
 
@@ -101,14 +98,21 @@ func (s *Service) Verify(ctx context.Context, tokenString string) (Token, error)
 		return nil, fmt.Errorf("get client_id: %w", err)
 	}
 
-	var verifier *pkgtoken.Verifier
 	if tokenType == tokendef.TokenTypeCAT {
-		verifier = s.appVerifier(clientID)
-	} else {
-		verifier = s.domainVerifier(clientID)
+		pasetoToken, err = s.appDecryptor.Verifier(clientID).Verify(ctx, tokenString)
+		if err != nil {
+			return nil, fmt.Errorf("verify signature: %w", err)
+		}
+		return tokendef.ParseToken(pasetoToken, tokenType)
+	}
+
+	audience, err := tokendef.GetAudience(pasetoToken)
+	if err != nil {
+		return nil, fmt.Errorf("get audience: %w", err)
 	}
 
-	pasetoToken, err = verifier.Verify(ctx, tokenString)
+	decryptor := s.domainDecryptor(audience)
+	pasetoToken, err = decryptor.Verifier(clientID).Verify(ctx, tokenString)
 	if err != nil {
 		return nil, fmt.Errorf("verify signature: %w", err)
 	}
@@ -129,11 +133,7 @@ func (s *Service) Verify(ctx context.Context, tokenString string) (Token, error)
 			return nil, errors.New("missing encrypted sub")
 		}
 
-		audience, err := tokendef.GetAudience(pasetoToken)
-		if err != nil {
-			logger.Warnf("failed to get audience from token: %v", err)
-		}
-		innerToken, err := s.serviceDecryptor(audience).Decrypt(ctx, encryptedSub)
+		innerToken, err := decryptor.Decrypt(ctx, encryptedSub)
 		if err != nil {
 			return nil, fmt.Errorf("decrypt sub: %w", err)
 		}
@@ -166,26 +166,6 @@ func (s *Service) domainSigner(clientID string) *Signer {
 	return signer
 }
 
-func (s *Service) domainVerifier(clientID string) *pkgtoken.Verifier {
-	s.mu.RLock()
-	verifier, ok := s.domainVerifiers[clientID]
-	s.mu.RUnlock()
-	if ok {
-		return verifier
-	}
-
-	s.mu.Lock()
-	defer s.mu.Unlock()
-
-	if verifier, ok := s.domainVerifiers[clientID]; ok {
-		return verifier
-	}
-
-	verifier = pkgtoken.NewVerifier(s.domainKeyProvider, clientID)
-	s.domainVerifiers[clientID] = verifier
-	return verifier
-}
-
 func (s *Service) serviceEncryptor(audience string) *Encryptor {
 	s.mu.RLock()
 	encryptor, ok := s.serviceEncryptors[audience]
@@ -206,9 +186,9 @@ func (s *Service) serviceEncryptor(audience string) *Encryptor {
 	return encryptor
 }
 
-func (s *Service) serviceDecryptor(audience string) *pkgtoken.Decryptor {
+func (s *Service) domainDecryptor(audience string) *pkgtoken.Decryptor {
 	s.mu.RLock()
-	decryptor, ok := s.serviceDecryptors[audience]
+	decryptor, ok := s.domainDecryptors[audience]
 	s.mu.RUnlock()
 	if ok {
 		return decryptor
@@ -217,35 +197,15 @@ func (s *Service) serviceDecryptor(audience string) *pkgtoken.Decryptor {
 	s.mu.Lock()
 	defer s.mu.Unlock()
 
-	if decryptor, ok := s.serviceDecryptors[audience]; ok {
+	if decryptor, ok := s.domainDecryptors[audience]; ok {
 		return decryptor
 	}
 
-	decryptor = pkgtoken.NewDecryptor(s.serviceKeyProvider, audience)
-	s.serviceDecryptors[audience] = decryptor
+	decryptor = pkgtoken.NewDecryptor(audience, s.serviceKeyProvider, s.domainKeyProvider)
+	s.domainDecryptors[audience] = decryptor
 	return decryptor
 }
 
-func (s *Service) appVerifier(clientID string) *pkgtoken.Verifier {
-	s.mu.RLock()
-	verifier, ok := s.appVerifiers[clientID]
-	s.mu.RUnlock()
-	if ok {
-		return verifier
-	}
-
-	s.mu.Lock()
-	defer s.mu.Unlock()
-
-	if verifier, ok := s.appVerifiers[clientID]; ok {
-		return verifier
-	}
-
-	verifier = pkgtoken.NewVerifier(s.appKeyProvider, clientID)
-	s.appVerifiers[clientID] = verifier
-	return verifier
-}
-
 // ============= Payload Encryption Helpers =============
 
 // marshalPayload extracts the payload that needs encryption for UAT and SSO tokens.

aegis/middleware/auth.go

@@ -4,7 +4,6 @@ import (
 	"context"
 	"fmt"
 	"net/http"
-	"strings"
 
 	"github.com/gin-gonic/gin"
 
@@ -16,7 +15,7 @@ import (
 
 func RequireToken(v *web.Interpreter) gin.HandlerFunc {
 	return func(c *gin.Context) {
-		tokenStr := extractBearer(c.GetHeader("Authorization"))
+		tokenStr := web.TrimBearer(c.GetHeader(web.AuthorizationHeader))
 		if tokenStr == "" {
 			c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"detail": "unauthorized"})
 			return
@@ -27,7 +26,7 @@ func RequireToken(v *web.Interpreter) gin.HandlerFunc {
 			c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"detail": "unauthorized"})
 			return
 		}
-		tc, err := web.NewTokenContext(identity)
+		tc, err := web.NewTokenContext(identity, nil)
 		if err != nil {
 			logger.Warnf("[Auth] TokenContext failed - Path: %s, Error: %v", c.Request.URL.Path, err)
 			c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"detail": "unauthorized"})
@@ -40,7 +39,7 @@ func RequireToken(v *web.Interpreter) gin.HandlerFunc {
 
 func OptionalToken(v *web.Interpreter) gin.HandlerFunc {
 	return func(c *gin.Context) {
-		tokenStr := extractBearer(c.GetHeader("Authorization"))
+		tokenStr := web.TrimBearer(c.GetHeader(web.AuthorizationHeader))
 		if tokenStr == "" {
 			c.Next()
 			return
@@ -50,7 +49,7 @@ func OptionalToken(v *web.Interpreter) gin.HandlerFunc {
 			c.Next()
 			return
 		}
-		tc, err := web.NewTokenContext(identity)
+		tc, err := web.NewTokenContext(identity, nil)
 		if err != nil {
 			c.Next()
 			return
@@ -60,13 +59,13 @@ func OptionalToken(v *web.Interpreter) gin.HandlerFunc {
 	}
 }
 
-// NewHermesKeyProvider 创建 Hermes 使用的密钥 Provider
-func NewHermesKeyProvider() (key.Provider, error) {
+// NewHermesKeyProvider 创建 Hermes 使用的 seed Provider
+func NewHermesKeyProvider() (*key.SeedProvider, error) {
 	masterKey, err := hermesconfig.GetAegisSecretKeyBytes()
 	if err != nil {
 		return nil, fmt.Errorf("get hermes aegis secret key: %w", err)
 	}
-	return key.LoadKeyFunc(func(_ context.Context, _ string) ([]byte, error) {
+	return key.SingleOf(func(_ context.Context, _ string) ([]byte, error) {
 		return masterKey, nil
 	}), nil
 }
@@ -77,10 +76,3 @@ func tokenPreview(tokenStr string, length int) string {
 	}
 	return tokenStr[:length]
 }
-
-func extractBearer(authorization string) string {
-	if len(authorization) > 7 && strings.EqualFold(authorization[:7], "Bearer ") {
-		return authorization[7:]
-	}
-	return ""
-}

config/example.toml

@@ -40,9 +40,16 @@ password = ""           # 如果未指定，使用 database.password
 name = "auth"           # 数据库名称
 
 # Redis 配置（用于存储 session、authorization_code、refresh_token）
-# URL 格式: redis://:password@host:port/db
 [redis]
-url = "redis://:helios@127.0.0.1:6379/0"
+host = "127.0.0.1"
+port = 6379
+password = "helios"
+db = 0
+# 前缀配置（可选）
+# session-prefix = "auth:session:"
+# code-prefix = "auth:code:"
+# refresh-token-prefix = "auth:rt:"
+# user-token-prefix = "auth:user:rt:"
 
 [cors]
 origins = ["*"]
@@ -80,14 +87,12 @@ appid = ""  # 支付宝小程序 AppID
 secret = ""  # 应用私钥（PKCS8 DER Base64，用于签名请求）
 verify-key = ""  # 支付宝公钥（PKCS8 DER Base64，上传应用公钥后支付宝返回，用于验证响应签名）
 
-# VChan 人机验证配置（Cloudflare Turnstile）
+# Captcha 人机验证配置（Cloudflare Turnstile）
 # 获取密钥: https://dash.cloudflare.com/turnstile
-[vchan.captcha]
-enabled = true             # 是否启用人机验证
-
-[vchan.captcha.turnstile]
-app_id = ""               # 站点密钥 / site key（前端使用）
-secret = ""               # 密钥 / secret key（后端验证使用）
+[captcha]
+provider = "turnstile"  # 验证提供商：turnstile
+site-key = ""           # 站点密钥（前端使用）
+secret-key = ""         # 密钥（后端验证使用）
 
 # Aegis 认证配置
 [aegis]
@@ -97,13 +102,6 @@ refresh-expires-in = 365    # refresh_token 过期时间(天)，1年
 max-refresh-token = 10      # 每用户最大 refresh_token 数
 service-url = "http://localhost:18000"  # Aegis 服务地址（内部调用）
 
-# SSO 配置（跨应用单点登录）
-# 密钥使用 python3 scripts/initialize-hermes.py 生成
-[sso]
-# master-key = ""          # SSO master key（32 字节，Base64URL 编码，通过 KDF 派生签名和加密密钥）
-# ttl = "168h"             # SSO Token 有效期（默认 7 天）
-# cookie-name = "aegis-sso"  # SSO Cookie 名称
-
 # Cookie 配置（Aegis 模块登录会话）
 [aegis.cookie]
 domain = ""                 # Cookie 域名（留空则从 endpoint 自动提取）
@@ -128,8 +126,8 @@ callback = "/callback"      # IDP 回调路径
 
 # 域配置（注意：实际配置在 hermes.toml 中，这里仅作参考）
 # 密钥使用 python3 scripts/initialize-hermes.py 生成
-# [aegis.domains.consumer]
-# name = "Consumer Identity"           # 域名称
+# [aegis.domains.ciam]
+# name = "Customer Identity"           # 域名称
 # description = "C端用户身份域"         # 域描述
 # 签名密钥（32 字节 Ed25519 seed，Base64URL 编码）
 # 支持密钥轮换：逗号分隔多个密钥，第一把是主密钥用于签发，其余是旧密钥用于验证