security: 自动生成随机管理员凭据

- 如果用户未配置 ADMIN_USERNAME/ADMIN_PASSWORD，自动生成随机凭据
- 启动时在控制台显示生成的用户名和密码
- 自动生成随机 JWT 密钥
- 移除硬编码的默认凭据（admin/admin123），消除安全隐患
- 提示用户在 .env 中配置持久凭据

src/config/config.js

@@ -1,5 +1,6 @@
 import dotenv from 'dotenv';
 import fs from 'fs';
+import crypto from 'crypto';
 import log from '../utils/logger.js';
 import { deepMerge } from '../utils/deepMerge.js';
 import { getConfigPaths } from '../utils/paths.js';
@@ -12,12 +13,54 @@ import {
   DEFAULT_MAX_REQUEST_SIZE,
   DEFAULT_MAX_IMAGES,
   MODEL_LIST_CACHE_TTL,
-  DEFAULT_GENERATION_PARAMS,
-  DEFAULT_ADMIN_USERNAME,
-  DEFAULT_ADMIN_PASSWORD,
-  DEFAULT_JWT_SECRET
+  DEFAULT_GENERATION_PARAMS
 } from '../constants/index.js';
 
+// 生成随机凭据的缓存
+let generatedCredentials = null;
+
+/**
+ * 生成或获取管理员凭据
+ * 如果用户未配置，自动生成随机凭据
+ */
+function getAdminCredentials() {
+  const username = process.env.ADMIN_USERNAME;
+  const password = process.env.ADMIN_PASSWORD;
+  const jwtSecret = process.env.JWT_SECRET;
+  
+  // 如果全部配置了，直接返回
+  if (username && password && jwtSecret) {
+    return { username, password, jwtSecret };
+  }
+  
+  // 生成随机凭据（只生成一次）
+  if (!generatedCredentials) {
+    generatedCredentials = {
+      username: username || `admin_${crypto.randomBytes(4).toString('hex')}`,
+      password: password || crypto.randomBytes(12).toString('base64').replace(/[+/=]/g, ''),
+      jwtSecret: jwtSecret || crypto.randomBytes(32).toString('hex')
+    };
+    
+    // 显示生成的凭据
+    if (!username || !password) {
+      log.warn('═══════════════════════════════════════════════════════════');
+      log.warn('⚠️  未配置管理员账号密码，已自动生成随机凭据：');
+      log.warn(`    用户名: ${generatedCredentials.username}`);
+      log.warn(`    密码:   ${generatedCredentials.password}`);
+      log.warn('═══════════════════════════════════════════════════════════');
+      log.warn('⚠️  重启后凭据将重新生成！建议在 .env 文件中配置：');
+      log.warn('    ADMIN_USERNAME=你的用户名');
+      log.warn('    ADMIN_PASSWORD=你的密码');
+      log.warn('    JWT_SECRET=你的密钥');
+      log.warn('═══════════════════════════════════════════════════════════');
+    } else if (!jwtSecret) {
+      log.warn('⚠️ 未配置 JWT_SECRET，已生成随机密钥（重启后登录会话将失效）');
+    }
+  }
+  
+  return generatedCredentials;
+}
+
 const { envPath, configJsonPath, examplePath } = getConfigPaths();
 
 // 确保 .env 存在（如果缺失则从 .env.example 复制一份）
@@ -99,11 +142,7 @@ export function buildConfig(jsonConfig) {
       maxRequestSize: jsonConfig.server?.maxRequestSize || DEFAULT_MAX_REQUEST_SIZE,
       apiKey: process.env.API_KEY || null
     },
-    admin: {
-      username: process.env.ADMIN_USERNAME || DEFAULT_ADMIN_USERNAME,
-      password: process.env.ADMIN_PASSWORD || DEFAULT_ADMIN_PASSWORD,
-      jwtSecret: process.env.JWT_SECRET || DEFAULT_JWT_SECRET
-    },
+    admin: getAdminCredentials(),
     useNativeAxios: jsonConfig.other?.useNativeAxios !== false,
     timeout: jsonConfig.other?.timeout || DEFAULT_TIMEOUT,
     retryTimes: Number.isFinite(jsonConfig.other?.retryTimes) ? jsonConfig.other.retryTimes : DEFAULT_RETRY_TIMES,

src/constants/index.js

@@ -164,20 +164,6 @@ export const DEFAULT_STOP_SEQUENCES = [
 
 // ==================== 管理员默认配置 ====================
 
-/**
- * 默认管理员用户名
- * @type {string}
- */
-export const DEFAULT_ADMIN_USERNAME = 'admin';
-
-/**
- * 默认管理员密码
- * @type {string}
- */
-export const DEFAULT_ADMIN_PASSWORD = 'admin123';
-
-/**
- * 默认 JWT 密钥（生产环境应更改）
- * @type {string}
- */
-export const DEFAULT_JWT_SECRET = 'your-jwt-secret-key-change-this-in-production';
+// 注意：管理员凭据（用户名、密码、JWT密钥）现在由 config.js 自动生成随机值
+// 如果用户未配置，启动时会在控制台显示生成的凭据
+// 不再使用硬编码的默认值，提高安全性