futu_opend/

credentials.rs

//! v1.4.110 P1-2: 凭据解析 helper 抽自 main.rs lines 844-973.

#![allow(unused_imports)]

use anyhow::Result;

use crate::config::{RuntimeConfig, read_explicit_credential_file};

/// 按 7 层优先级解析登录密码（v1.4.18+）。返回 `(password, is_md5)`。
///
/// 优先级（高到低）：
///   1. `--login-pwd-file <path>`   读文件（Docker secrets / systemd LoadCredential）
///   2. `--login-pwd <plain>`       明文 argv（打 deprecation WARN）
///   3. `--login-pwd-md5 <hex>`     md5 argv（同样 WARN）
///   4. `FUTU_PWD` env var
///   5. OS keychain（`futucli set-login-pwd --account X` 存的）
///   6. 交互式 tty prompt（`rpassword`，不回显不进 history）
///   7. 都没有 → `None`
///
/// `account` 用来查 keychain 条目（每账号一条，`login-password.<account>`）。
///
/// codex 0547 F2 (P2) fix: 显式 `--login-pwd-file` / `[login_pwd_file]` 配置
/// 路径读取失败 / 内容空 = fatal Err. 不再 silent fallback to 后续 6 项 (老
/// 行为)。systemd `LoadCredential=` / Docker secret mount 失败时, 之前 daemon
/// 会用旧 `FUTU_PWD` / keychain 密码继续登 → 用户以为换密码, 实际还在用旧值
/// (silent failure 反模式 / pitfall #45). explicit ≠ auto-detect; auto-detect
/// 该 silent fallback, explicit 该 fail-closed.
///
/// 返回 `Result<Option<(Option<String>, bool)>>`:
/// - `Ok(Some((Some(pwd), is_md5)))` — 找到密码 (任一来源)
/// - `Ok(None)` — 7 层全无 (caller 按 "无凭据" 处理, e.g. offline mode)
/// - `Err(...)` — explicit 来源 #1 (login_pwd_file) 失败, daemon 应 abort
pub fn resolve_login_password(
    account: Option<&str>,
    config: &RuntimeConfig,
) -> Result<Option<(Option<String>, bool)>> {
    // 1. --login-pwd-file (显式 → fail-closed per codex 0547 F2)
    //
    // 之前 v1.4.18 - v1.4.105: read 失败 / empty → tracing::warn + 走下一项.
    // 修后: 用户**显式**给了 path 但读失败 / 文件空 = fatal, 不 silent
    // fallback. 走 `read_explicit_credential_file` helper 与 F1 保持一致.
    if let Some(path) = &config.login_pwd_file {
        let pwd = read_explicit_credential_file("--login-pwd-file", path)?;
        tracing::info!(path = %path, "loaded login password from --login-pwd-file");
        return Ok(Some((Some(pwd), false)));
    }

    // 2. --login-pwd（明文）—— 保留但打 deprecation WARN
    if let Some(pwd) = &config.login_pwd
        && !pwd.is_empty()
    {
        tracing::warn!(
            "⚠️  --login-pwd passes plaintext password via argv; visible in `ps aux` \
                 and shell history. Recommended: `futucli set-login-pwd --account {}` \
                 to store in OS keychain, then omit --login-pwd.",
            account.unwrap_or("<account>")
        );
        return Ok(Some((Some(pwd.clone()), false)));
    }

    // 3. --login-pwd-md5 —— 同样 WARN（md5 等同明文，可以直接登录）
    if let Some(md5) = &config.login_pwd_md5
        && !md5.is_empty()
    {
        tracing::warn!(
            "⚠️  --login-pwd-md5 is equivalent to plaintext (can log in directly); \
                 same argv exposure as --login-pwd. Recommended: use `futucli set-login-pwd` \
                 instead."
        );
        return Ok(Some((Some(md5.clone()), true)));
    }

    // 4. FUTU_PWD env var
    if let Ok(pwd) = std::env::var("FUTU_PWD")
        && !pwd.is_empty()
    {
        tracing::info!("loaded login password from FUTU_PWD env var");
        return Ok(Some((Some(pwd), false)));
    }

    // 5. OS keychain —— 需要知道 account 才能查对应条目
    if let Some(acc) = account {
        // v1.4.57 UX-08 (外部报告): Keychain 读取耗时可达 10s+（macOS 首次解锁），
        // 加 INFO 提示让用户不以为 daemon 挂死。
        tracing::info!(
            account = acc,
            "loading login password from OS keychain (may take ~10s on first unlock)"
        );
        let username = futu_auth::keyring_username_for_login_pwd(acc);
        match keyring::Entry::new(futu_auth::KEYRING_SERVICE, &username) {
            Ok(entry) => match entry.get_password() {
                Ok(pwd) if !pwd.is_empty() => {
                    tracing::info!(account = acc, "loaded login password from OS keychain");
                    return Ok(Some((Some(pwd), false)));
                }
                Ok(_) => {
                    tracing::debug!(account = acc, "keychain entry exists but is empty");
                }
                Err(keyring::Error::NoEntry) => {
                    tracing::debug!(account = acc, "no keychain entry for this account");
                }
                Err(e) => {
                    tracing::warn!(account = acc, error = %e, "keychain read failed");
                }
            },
            Err(e) => {
                tracing::warn!(error = %e, "keychain backend unavailable");
            }
        }
    }

    // 6. 交互式 prompt（stdin 是 tty 时）
    if std::io::IsTerminal::is_terminal(&std::io::stdin())
        && let Some(acc) = account
    {
        match rpassword::prompt_password(format!("Login password for account {acc}: ")) {
            Ok(pwd) if !pwd.is_empty() => {
                tracing::info!("loaded login password from interactive prompt");
                // 提示用户下次可以走 keychain 免输
                eprintln!(
                    "  tip: run `futucli set-login-pwd --account {acc}` once to \
                         skip this prompt next time."
                );
                return Ok(Some((Some(pwd), false)));
            }
            Ok(_) => {
                tracing::warn!("empty password from prompt");
            }
            Err(e) => {
                tracing::warn!(error = %e, "prompt_password failed");
            }
        }
    }

    // 7. 都没有
    Ok(None)
}