Update.

Author: xOS

cmd/dashboard/controller/controller.go

@@ -65,20 +65,31 @@ func corsMiddleware(c *gin.Context) {
 }
 
 // pprofAuthMiddleware pprof 认证中间件
-// 检查用户是否已登录且为管理员
+// 检查用户是否为管理员（需要在 mygin.Authorize 之后使用）
 func pprofAuthMiddleware() gin.HandlerFunc {
 	return func(c *gin.Context) {
-		// 检查用户是否已登录
-		if user, exists := c.Get(model.CtxKeyAuthorizedUser); exists && user != nil {
-			// 检查是否为管理员用户
-			if u, ok := user.(*model.User); ok && u.SuperAdmin {
+		// 从上下文获取用户信息（由 mygin.Authorize 设置）
+		user, exists := c.Get(model.CtxKeyAuthorizedUser)
+
+		if !exists || user == nil {
+			c.JSON(http.StatusForbidden, gin.H{
+				"error": "需要登录才能访问性能分析工具",
+				"code":  403,
+			})
+			c.Abort()
+			return
+		}
+
+		// 检查是否为管理员用户
+		if u, ok := user.(*model.User); ok {
+			if u.SuperAdmin {
 				// 管理员用户，允许访问
 				c.Next()
 				return
 			}
 		}
 
-		// 用户未登录或非管理员，返回403
+		// 非管理员用户，拒绝访问
 		c.JSON(http.StatusForbidden, gin.H{
 			"error": "需要管理员权限才能访问性能分析工具",
 			"code":  403,
@@ -137,14 +148,16 @@ func ServeWeb(port uint) *http.Server {
 
 	if singleton.Conf.Debug {
 		gin.SetMode(gin.DebugMode)
-		// 为 pprof 添加完整的认证流程保护
+		// 为 pprof 添加认证保护，只允许管理员访问
 		pprofGroup := r.Group("/debug/pprof")
-		// 首先使用标准认证中间件设置用户信息
 		pprofGroup.Use(mygin.Authorize(mygin.AuthorizeOption{
 			MemberOnly: true,
-			AllowAPI:   true, // 允许API Token访问
+			AllowAPI:   true,
+			IsPage:     false,
+			Msg:        "访问性能分析工具需要管理员权限",
+			Btn:        "点此登录",
+			Redirect:   "/login",
 		}))
-		// 然后使用 pprof 专用中间件检查管理员权限
 		pprofGroup.Use(pprofAuthMiddleware())
 		pprof.RouteRegister(pprofGroup, "")
 	}

pkg/mygin/auth.go

@@ -37,11 +37,10 @@ func Authorize(opt AuthorizeOption) func(*gin.Context) {
 			Link:  opt.Redirect,
 			Btn:   opt.Btn,
 		}
-		var isLogin bool
-
-		// 用户鉴权
+		var isLogin bool // 用户鉴权
 		token, _ := c.Cookie(singleton.Conf.Site.CookieName)
 		token = strings.TrimSpace(token)
+
 		if token != "" {
 			var u model.User
 
@@ -56,7 +55,6 @@ func Authorize(opt AuthorizeOption) func(*gin.Context) {
 						log.Printf("从 BadgerDB 查询用户失败: %v，将使用默认凭据", err)
 						// 使用默认管理员账户进行测试
 						if token == "admin" {
-							log.Printf("使用默认管理员账户")
 							u = model.User{
 								Common:     model.Common{ID: 1},
 								Login:      "admin",
@@ -66,38 +64,31 @@ func Authorize(opt AuthorizeOption) func(*gin.Context) {
 						}
 					} else {
 						// 在内存中查找匹配token的用户
-						// 移除频繁的认证日志输出，只在出错时输出
 						for _, user := range users {
 							if user != nil && user.Token == token {
 								// 检查token是否过期
 								if user.TokenExpired.After(time.Now()) {
 									u = *user
 									isLogin = true
-									// 移除频繁的认证成功日志
 									break
 								}
-								// 移除token过期的日志输出
 							}
 						}
 
 						// 如果没有找到有效用户，但token是admin，则使用默认管理员账户
 						if !isLogin && token == "admin" {
-							// 移除默认管理员账户的日志输出
 							u = model.User{
 								Common:     model.Common{ID: 1},
 								Login:      "admin",
 								SuperAdmin: true,
 							}
 							isLogin = true
 						}
-
-						// 移除认证失败的频繁日志输出
 					}
 				} else {
 					log.Printf("警告：BadgerDB未初始化，用户认证将失败")
 					// 使用默认管理员账户
 					if token == "admin" {
-						log.Printf("使用默认管理员账户")
 						u = model.User{
 							Common:     model.Common{ID: 1},
 							Login:      "admin",
@@ -117,7 +108,6 @@ func Authorize(opt AuthorizeOption) func(*gin.Context) {
 					log.Printf("警告：SQLite未初始化，用户认证将失败")
 					// 在调试模式下使用默认管理员账户
 					if singleton.Conf.Debug && token == "admin" {
-						log.Printf("调试模式：使用默认管理员账户")
 						u = model.User{
 							Common:     model.Common{ID: 1},
 							Login:      "admin",
@@ -194,7 +184,6 @@ func Authorize(opt AuthorizeOption) func(*gin.Context) {
 				}
 				c.Set(model.CtxKeyAuthorizedUser, u)
 				isLogin = true
-				log.Printf("调试模式：自动授权访问路径 %s", path)
 			}
 		}