Email Login
第一阶段采用邮箱和密码登录。
邮箱账号是最容易落地的方案:不依赖第三方开放平台审核,适合先上线验证付费、额度和报告历史。后续如果需要,再增加手机号登录。
密码安全
生产环境必须使用 Argon2id 或 bcrypt 哈希,不保存明文密码。
HttpOnly 登录态
登录成功后由服务端签发 HttpOnly Cookie,避免前端持久化 token。
模型 Key 独立管理
用户自带模型 Key 和登录密码分开加密存储。
Account Gateway
邮箱账号登录
还没有账号? 注册新账号
登录成功后服务端会签发 HttpOnly Cookie,工作台、额度和报告历史都绑定到当前邮箱账号。
MVP 仅保留邮箱密码账号,减少外部平台审核和回调配置成本。