v1.1.1

更新内容

• 生产环境默认关闭 FastAPI Swagger/ReDoc/OpenAPI 暴露端点，可通过 API_DOCS_ENABLED=1 显式开启。
• 新增基于 IP 的分层限速，覆盖登录、后台 API、支付 API、公开订单状态查询等高风险入口。
• 后台商户列表和商户查询接口不再返回完整签名密钥，仅返回密钥指纹。
• 商户密钥重置接口不再在响应中返回新密钥，避免二次泄露。
• 统一商户不存在、密钥错误、签名错误、封禁等认证失败响应，降低 PID/key 枚举风险。
• 后台订单列表和导出筛选参数改为强类型校验，拦截 SQL 注入类 payload。
• JWT 校验增加 base64url canonical 检查，拒绝非规范编码 token。
• QR 解析改为懒加载 zbar，并补充 qrcode 测试依赖。
• 前端商户页移除完整 key 复制和本地签名测试入口，仅展示 key 指纹。

测试

• /tmp/qiu-pay-venv/bin/python -m pytest：292 passed
• npm run build：通过

Qiu-Pay v1.1.0：系统设置、Demo 限制与凭证安全校验更新

v1.1.0 更新内容

本版本基于 v1.0.0 之后的迭代，重点完善了后台配置能力、Demo 模式限制、商户凭证安全校验，以及整体前端展示体验。

新增功能

• 新增系统设置面板
• 支持动态配置并展示页面底部 ICP 备案信息
• 新增 IcpFooter 组件，并接入后台与页面展示
• 支持从项目根目录一键启动开发环境
• 增加测试相关覆盖，补充部分核心流程验证

后台与交互优化

• 优化支付凭证配置流程
• 优化管理后台整体前端风格与页面样式
• 更新站点 Logo，替换后台侧栏、登录页和 favicon
• 更新 README 展示，补充 Star History 星图

安全与权限改进

• Demo 模式下禁止修改系统配置
• 修复商户凭证接口缺少归属校验的问题
• 为商户凭证更新、启停、删除操作补充 cred_id 与 pid 的归属校验
• Demo 模式下对 App ID 展示增加隐私保护

稳定性修复

• 修复 docker compose down 时无信号响应的问题
• 调整部分支付与后台逻辑，提升配置与运行稳定性

兼容性说明

• 本版本包含后台界面、配置项、文档展示和凭证校验逻辑更新
• 建议升级后重点验证：
  • 系统设置中的 ICP 配置是否正常生效
  • 商户凭证新增、更新、启停、删除流程
  • Demo 模式下后台限制是否符合预期
  • Docker 部署停止与重启流程

v1.0.0 - First Stable Release

🚀 Qiu-Pay v1.0.0

首个稳定版本发布 🎉

✨ 新增功能

• 支持支付宝账单自动检测
• 多商户管理
• 异步回调通知
• 尾数防冲突机制

🐳 快速部署

下载下方 docker 部署包：

1️⃣ 修改 .env
2️⃣ 执行：

docker compose up -d

⚠️ 注意

本项目为收款状态确认工具，不提供支付清算能力

Full Changelog: https://github.com/leoxie2006/qiu-pay/commits/v1.0.0