Releases: MAX-API-Next/MAX-API
Releases · MAX-API-Next/MAX-API
v1.0.2 界面重构、后台优化、安全加固
MAX API Release Notes
2026-06-21 ~ 2026-06-22
概览
本次更新以界面重构、后台设置优化、鉴权安全加固和文档补全为主。
主要更新
前端体验重构
- 优化首页排版、文案层级、毛玻璃面板、动态扫描线、网格背景和响应式布局。
- 重新设计登录页 UI,将首页球形视觉复用到登录场景,并支持使用后台配置的系统徽标。
- 优化导航栏展示,并新增 MAX API GitHub 入口。
后台治理能力
- 新增“排行榜”独立开关,可在后台单独控制排行榜页面是否启用、是否要求登录访问。
- 将
RankingsModule从旧的HeaderNavModules中拆分为独立配置项,同时保留旧配置回退逻辑。 - 收敛前端导航模块解析逻辑,减少 HeaderNav 配置解析的重复实现。
- 优化系统设置表单的保存、重置和配置合并逻辑,降低 stale write 风险。
日志与审计
- 状态接口新增日志审计开关信息,前端可展示当前日志审计是否开启。
- 使用日志页面新增“日志审计已开启 / 已关闭”状态标识。
- 当后台开启请求或响应内容审计时,普通用户可在其有权限访问的日志详情中看到对应审计内容。
- 用户侧日志会剥离管理员专用字段,仅暴露允许用户可见的
audit_info。 - 新增后端测试覆盖用户侧日志审计内容暴露和关闭场景。
安全加固
- 会话鉴权改为基于最新用户缓存刷新,避免用户被禁用或降权后旧 session 继续保留原权限。
- 新增
SESSION_COOKIE_SECURE环境变量,用于控制 session cookie 是否启用 Secure。 - Gin trusted proxies 改为显式配置,默认信任本机与私网地址段,并支持
TRUSTED_PROXIES覆盖。 TokenAuthReadOnly现在拒绝禁用和过期 token,仅允许额度耗尽 token 查询自身只读用量或日志。- SSRF 防护增强:对域名解析后的 IP 进行校验,并在受保护 HTTP Client 中绑定最终拨号地址,降低 DNS rebinding 风险。
- SSRF 保护客户端禁用环境代理,避免代理侧解析绕过本机目的地址校验。
- Midjourney / 视频代理等链路对 SSRF protected client 的使用做了补强。
工程质量与 CI
- 新增 GitHub Actions CI,覆盖后端测试、
go vet、JSON wrapper policy、前端 typecheck 和 build。 - 修复 release workflow,统一 MAX API 构建产物命名为
max-api-*。 - Release 构建改为从
webworkspace 安装依赖,再构建web/default。 - 固定 Bun 版本为
1.3.14,提高 CI / Release 构建稳定性。 - 新增
tools/jsonwrapcheck,用于阻止新增业务代码直接调用encoding/json。 - 更新 JSON wrapper allowlist,清理失效条目。
文档与社区信息
- README 增加社区访问信息:
- GitHub:https://github.com/MAX-API-Next
- QQ:950126533
- 微信群:搜索 MAX-API
- 修正 README 语言入口链接。
- 新增 v1.0.0 release notes 文档。
- 更新 Issue / PR 模板和部分 workflow 文案,统一 MAX API 项目信息。
兼容性说明
RankingsModule已成为排行榜显示控制的新配置源;旧的HeaderNavModules.rankings仍作为兼容回退。TRUSTED_PROXIES未配置时,默认信任本机与私网地址段;公网直连部署可按需收紧。SESSION_COOKIE_SECURE默认仍为false,HTTPS 部署建议显式设置为true。- 日志审计内容属于敏感信息,开启后用户可在其有权限访问的日志详情中看到相应请求/响应内容。
验证
go test ./common ./service- 相关前后端设置项与翻译已同步更新
Full Changelog: v1.0.1...v1.0.2
v1.0.1 新版主页UI设计
MAX API Release Notes
Version
- Release:
v1.0.0-4-g2a504c9 - Base tag:
v1.0.0 - Commit:
2a504c9 新版主页UI设计 - Date:
2026-06-20
Highlights
- 全面重构默认前端主页 UI,升级为更具科技感的深色视觉体系。
- 新增动态球形与轨道视觉,围绕 MAX API 的治理、路由、审计、计费等核心能力进行表达。
- 首页主视觉中心改为 MAX API Logo,并优化球形层级,避免高光或节点遮挡 Logo。
- 公共导航栏新增 MAX API GitHub 入口,桌面端与移动端均支持访问。
- 重写首页核心文案,减少中英文混杂,使产品定位更统一、更专业。
Frontend
- 重构首页 Hero、Stats、Features、How It Works、CTA 等模块。
- 新增毛玻璃、动态光带、轨道层、遥测面板等视觉样式。
- 优化首页顶部安全间距,避免动态导航栏遮挡首屏内容。
- 删除首屏顶部品牌 Chip 与状态 Badge,减少布局冲突。
- 治理矩阵调整为 8 个功能项,提升排版平衡性。
- 完善多语言文案,同步更新
en、zh、fr、ja、ru、vi语言文件。
Navigation
-
新增 GitHub 图标按钮,链接至:
https://github.com/MAX-API-Next/MAX-API -
优化导航栏位置与移动端紧凑布局。
Compatibility
- 本版本主要为默认前端 UI 与文案更新。
- 无数据库迁移。
- 无后端接口协议变更。
- 无额外环境变量或配置项要求。
Validation
已通过以下检查:
git diff --checkbun run typecheckbun run build
Changed Files
主要变更集中在:
web/default/src/features/home/web/default/src/components/layout/components/public-header.tsxweb/default/src/styles/index.cssweb/default/src/i18n/locales/
v1.0.0
MAX API v1.0.0 发布说明
本说明面向正在评估或准备从 New API 迁移的用户。基于当前 MAX API 代码与本地 new-api-1.0.0-rc.13 代码、README 和配置文档对比,MAX API v1.0.0 延续 New API/One API 的多模型网关、用户与令牌、计费、日志、Docker 部署和三数据库兼容基础,并进一步聚焦 AI 模型治理、AgentOps、渠道配置治理、异步任务治理和成本核算。
一句话概括:MAX API 不只是把多个模型接口统一到一个入口,而是把模型、渠道、令牌、计费、日志、异步任务和运维配置纳入一个可配置、可观测、可核算的治理层。
相比 New API 的主要不同与改进
| 领域 | New API 已有基础 | MAX API v1.0.0 的改进 |
|---|---|---|
| 项目定位 | 多模型 API 网关与 AI 资产管理 | 明确扩展为 AI 模型治理、AgentOps 与应用服务基础设施,强调模型、渠道、Agent 调用链路、成本和审计的持续运营 |
| 渠道治理 | 支持多供应商渠道、模型映射、权重、分组和失败重试 | 增加渠道能力矩阵与配置校验,帮助管理员在保存前识别 Base URL、JSON 配置、模型发现、Codex 凭证、Vertex AI 区域、视频任务占位符等风险 |
| 自定义上游 | 支持 Advanced Custom 渠道与协议转换 | 强化按请求路径选择渠道的逻辑,使高级自定义渠道与普通渠道在缓存和数据库选择路径下保持一致;无效高级自定义配置会被跳过并记录错误,避免影响同模型下的健康渠道 |
| 多模态任务 | 已具备视频任务入口和部分供应商任务适配 | 新增通用视频任务协议,可配置提交路径、查询路径、任务 ID、状态、进度、结果 URL、错误字段和状态映射,减少为兼容型视频上游重复写适配器的成本 |
| 任务结果代理 | 支持任务状态查询 | 强化 /v1/videos/{task_id}/content 内容代理场景,便于在需要隐藏上游资源地址时通过网关返回任务结果 |
| 成本与计费 | 支持倍率、固定价格、表达式计费等基础 | 增加分阶段计费 JSON 统一维护入口,并新增 task_billing_setting.rate_cards 任务 rate-card 计费配置,适合按供应商、模型、时长、质量、音频、视频输入等参数核算异步任务成本 |
| 运维与文档 | 提供部署、环境变量、FAQ 等通用说明 | README 和安装文档改为围绕治理配置、能力矩阵、视频任务协议、计费 JSON、Docker 镜像和多机部署注意事项展开,更适合生产部署前核对 |
| 发布与镜像 | 使用 New API 镜像和仓库命名 | MAX API 使用独立镜像 cscitechtop/max-api:v1.0.0 与 cscitechtop/max-api:latest,服务名、部署示例、文档入口和支持入口已切换到 MAX API 体系 |
重点更新
1. 模型治理与 AgentOps 定位
MAX API v1.0.0 将网关能力从“统一转发”进一步扩展为治理平面:
- 统一管理模型入口、供应商渠道、模型映射、分组、权限和价格规则。
- 为应用、Agent、工作流和工具调用提供独立令牌、模型范围、额度和过期时间控制。
- 通过请求日志、用量统计、渠道命中、错误信息和成本归因支持 Agent 调用链路排查。
- 面向私有化和组织运营场景,强调密钥自主管理、日志留存、审计边界和合规配置。
2. 渠道能力矩阵与配置校验
渠道新建和编辑流程新增更清晰的治理辅助能力:
- 能力矩阵展示
chat/completions、responses、Claude Messages、Gemini native、embeddings、images、audio、rerank、video tasks、model discovery等能力状态。 - 保存前校验 API Key、模型列表、Base URL、额外配置 JSON、Vertex AI 区域、Codex 凭证、模型发现设置和视频任务路径占位符。
- 对需要额外 JSON 配置的渠道,提前暴露配置风险,减少上线后才发现路径、协议或字段不匹配的问题。
3. 高级自定义渠道选择更稳健
v1.0.0 强化了 Advanced Custom 渠道在多路径、多优先级、多权重场景下的选择行为:
- 渠道选择会先按请求路径过滤高级自定义渠道,再进入优先级和权重选择。
- 内存缓存路径和数据库路径使用一致的高级自定义配置解析与校验逻辑。
- 配置损坏或校验失败的高级自定义渠道会被排除并记录错误,不会阻断同模型、同分组下的正常渠道。
- 优先级重试会做边界处理,避免重试索引越界导致异常。
4. 通用视频任务协议
MAX API 将视频任务接入从固定供应商适配扩展为可配置任务协议。渠道可通过 task_protocol = "generic_video_task" 与 task_protocol_config 描述上游任务接口:
{
"task_protocol": "generic_video_task",
"task_protocol_config": {
"submit_path": "/v1/videos/create",
"query_path": "/v1/videos/{task_id}",
"task_id_path": "task_id",
"status_path": "status",
"progress_path": "progress",
"result_url_paths": [
"result.primary_url",
"result.urls.0",
"data.result.primary_url",
"url",
"video_url",
"download_url"
],
"error_message_path": "error_message",
"status_map": {
"queued": "QUEUED",
"running": "IN_PROGRESS",
"succeeded": "SUCCESS",
"failed": "FAILURE"
}
}
}该能力适合路径、任务 ID、状态字段、进度字段、错误字段和结果 URL 字段可通过 JSON 路径描述的视频上游。查询路径支持 {task_id}、{operation_name} 和 {upstream_task_id},其中 {operation_name} 可保留多段路径,适配 Gemini / Vertex 风格的 operation 查询。
如果上游需要特殊签名、非标准认证、复杂请求体重写、回调机制或完全不同的任务生命周期,仍建议新增或扩展专用适配器,不应仅依赖配置项。
5. 任务 rate-card 与计费 JSON 维护
MAX API v1.0.0 对计费配置做了更适合生产维护的整理:
Tiered billing JSON用于统一维护多个模型的分阶段计费规则,保存时同步更新billing_mode与billing_expr。task_billing_setting.rate_cards用于维护异步任务计费规则,可按vendor区分 Sora、Veo、Seedance、Kling 等供应商分区。- 任务 rate-card 支持按请求参数匹配价格,例如时长、清晰度、是否带音频、是否有视频输入等字段。
- 用量日志中保留计费模式和命中明细,便于定位复杂模型或视频任务的成本来源。
示例:
{
"vendor/model-name": {
"vendor": "kling",
"unit": "second",
"quantity_field": "duration",
"default_quantity": 5,
"strict": true,
"defaults": {
"quality": "std",
"has_audio": "false"
},
"rows": [
{
"id": "std_no_audio",
"match": {
"quality": "std",
"has_audio": "false"
},
"unit_price": 0.6
}
]
}
}6. 部署与镜像
v1.0.0 推荐直接使用 MAX API 镜像。固定生产版本可使用 v1.0.0 tag,跟随最新构建可使用 latest tag:
docker pull cscitechtop/max-api:v1.0.0
docker pull cscitechtop/max-api:latest
docker run --name max-api -d --restart always \
-p 3000:3000 \
-e TZ=Asia/Shanghai \
-v ./data:/data \
cscitechtop/max-api:v1.0.0生产环境建议使用 Docker Compose,并显式配置数据库、Redis、SESSION_SECRET、CRYPTO_SECRET、日志目录、HTTPS 反向代理和备份策略。
兼容与迁移说明
- MAX API 继续兼容 New API 与 One API 的主要数据结构,通常可以复用既有数据库数据。
- 迁移前必须备份数据库,并在测试环境验证用户、令牌、渠道、倍率、模型映射、任务记录和日志数据。
- 使用多机部署时,所有节点应配置相同的
SESSION_SECRET;启用 Redis 或多机共享加密数据时,应配置相同的CRYPTO_SECRET。 - 从 New API 镜像迁移时,请将部署镜像替换为
cscitechtop/max-api:v1.0.0或cscitechtop/max-api:latest,并核对容器名、服务名、Pyroscope 应用名、仓库地址和文档入口。 - 对已有 Advanced Custom 渠道,建议迁移后重点检查
advanced_custom配置是否能通过当前校验规则,以及每条路由的incoming_path是否覆盖真实请求路径。 - 对视频任务渠道,建议先用测试模型验证提交、轮询、状态映射、结果 URL 提取和内容代理,再开放给生产令牌。
仍需注意的边界
- MAX API 是网关治理层,不提供上游模型账号、API Key、基础模型训练能力或模型服务本身。
- MAX API 不替代 Dify、LangChain、MCP Server、工作流引擎或业务 Agent 应用;它负责这些应用和上游模型服务之间的接入、鉴权、路由、计费、日志和治理。
- 通用视频任务协议适合结构可配置的 submit/query 类接口;对强签名、复杂认证、回调驱动或非任务式上游,仍需要适配器开发。
- 面向公众提供生成式 AI 服务时,运营方仍需自行完成上游授权、备案、内容安全、实名、日志留存、支付、税务和用户协议等合规义务。
致谢
MAX API v1.0.0 延续并兼容 New API 与 One API 的开源基础,在此基础上面向模型治理、AgentOps、异步任务和成本核算场景做进一步工程化增强。感谢相关开源项目和社区生态的长期贡献。