MAX API Release Notes
2026-06-21 ~ 2026-06-22
概览
本次更新以界面重构、后台设置优化、鉴权安全加固和文档补全为主。
主要更新
前端体验重构
- 优化首页排版、文案层级、毛玻璃面板、动态扫描线、网格背景和响应式布局。
- 重新设计登录页 UI,将首页球形视觉复用到登录场景,并支持使用后台配置的系统徽标。
- 优化导航栏展示,并新增 MAX API GitHub 入口。
后台治理能力
- 新增“排行榜”独立开关,可在后台单独控制排行榜页面是否启用、是否要求登录访问。
- 将
RankingsModule从旧的HeaderNavModules中拆分为独立配置项,同时保留旧配置回退逻辑。 - 收敛前端导航模块解析逻辑,减少 HeaderNav 配置解析的重复实现。
- 优化系统设置表单的保存、重置和配置合并逻辑,降低 stale write 风险。
日志与审计
- 状态接口新增日志审计开关信息,前端可展示当前日志审计是否开启。
- 使用日志页面新增“日志审计已开启 / 已关闭”状态标识。
- 当后台开启请求或响应内容审计时,普通用户可在其有权限访问的日志详情中看到对应审计内容。
- 用户侧日志会剥离管理员专用字段,仅暴露允许用户可见的
audit_info。 - 新增后端测试覆盖用户侧日志审计内容暴露和关闭场景。
安全加固
- 会话鉴权改为基于最新用户缓存刷新,避免用户被禁用或降权后旧 session 继续保留原权限。
- 新增
SESSION_COOKIE_SECURE环境变量,用于控制 session cookie 是否启用 Secure。 - Gin trusted proxies 改为显式配置,默认信任本机与私网地址段,并支持
TRUSTED_PROXIES覆盖。 TokenAuthReadOnly现在拒绝禁用和过期 token,仅允许额度耗尽 token 查询自身只读用量或日志。- SSRF 防护增强:对域名解析后的 IP 进行校验,并在受保护 HTTP Client 中绑定最终拨号地址,降低 DNS rebinding 风险。
- SSRF 保护客户端禁用环境代理,避免代理侧解析绕过本机目的地址校验。
- Midjourney / 视频代理等链路对 SSRF protected client 的使用做了补强。
工程质量与 CI
- 新增 GitHub Actions CI,覆盖后端测试、
go vet、JSON wrapper policy、前端 typecheck 和 build。 - 修复 release workflow,统一 MAX API 构建产物命名为
max-api-*。 - Release 构建改为从
webworkspace 安装依赖,再构建web/default。 - 固定 Bun 版本为
1.3.14,提高 CI / Release 构建稳定性。 - 新增
tools/jsonwrapcheck,用于阻止新增业务代码直接调用encoding/json。 - 更新 JSON wrapper allowlist,清理失效条目。
文档与社区信息
- README 增加社区访问信息:
- GitHub:https://github.com/MAX-API-Next
- QQ:950126533
- 微信群:搜索 MAX-API
- 修正 README 语言入口链接。
- 新增 v1.0.0 release notes 文档。
- 更新 Issue / PR 模板和部分 workflow 文案,统一 MAX API 项目信息。
兼容性说明
RankingsModule已成为排行榜显示控制的新配置源;旧的HeaderNavModules.rankings仍作为兼容回退。TRUSTED_PROXIES未配置时,默认信任本机与私网地址段;公网直连部署可按需收紧。SESSION_COOKIE_SECURE默认仍为false,HTTPS 部署建议显式设置为true。- 日志审计内容属于敏感信息,开启后用户可在其有权限访问的日志详情中看到相应请求/响应内容。
验证
go test ./common ./service- 相关前后端设置项与翻译已同步更新
Full Changelog: https://github.com/MAX-API-Next/MAX-API/compare/v1.0.1…v1.0.2