futu_opend/

config.rs

//! v1.4.110 P1-2: XmlConfig + RuntimeConfig + load / merge 抽自 main.rs lines 498-842.

use anyhow::Result;

use crate::cli::{Args, LogLevel, LoginRegion, Platform};

// ===== XML 配置文件解析 (兼容 C++ FutuOpenD.xml) =====
//
// v1.4.102 BUG-006 fix (P1, leaf v1.4.100 报告): `#[serde(deny_unknown_fields)]`
// 让 TOML/XML 里未知字段 / 未知 section ([daemon]) 报 fatal error 而非 silent
// drop. 历史: 用户写 `[daemon]\nport = 12482` (合理 namespace, 但 XmlConfig
// 是 flat 结构), serde 把整个 `[daemon]` 作为未知字段 silent drop, daemon
// log 显示 "loaded TOML config" 但端口仍是默认值 11111. P1 配置 silent 失效.
//
// **修法**: deny_unknown_fields → `[daemon]` section / typo 立即 fatal +
// 启动 abort. 用户改成 flat keys (`port = 12482` 顶层) 才合法.
//
// **不接受 [daemon] section 的设计理由**: XmlConfig 是 quick_xml 生成的
// flat schema, 加 nested DaemonSection 会破坏 XML 兼容路径 (XML 不分 section).
// 一致性: TOML / XML 都用 flat keys, 文档明确说.
#[derive(Default, serde::Deserialize)]
#[serde(deny_unknown_fields)]
pub struct XmlConfig {
    // 登录参数
    pub login_account: Option<String>,
    pub login_pwd: Option<String>,
    pub login_pwd_md5: Option<String>,
    pub login_pwd_file: Option<String>,
    // v1.4.40 #12 fix: XML/TOML 里 login_region 也封闭为 enum。serde 会拒非法值。
    pub login_region: Option<LoginRegion>,
    /// 账号平台（v1.4.14+）—— "futunn" 或 "moomoo"
    pub platform: Option<Platform>,
    // 服务监听
    pub ip: Option<String>,
    #[serde(alias = "api_port")]
    pub port: Option<u16>,
    // WebSocket
    pub websocket_port: Option<u16>,
    // Telnet
    pub telnet_port: Option<u16>,
    // REST API
    pub rest_port: Option<u16>,
    // gRPC
    pub grpc_port: Option<u16>,
    // RSA
    pub rsa_private_key: Option<String>,
    // 系统
    pub lang: Option<String>,
    // codex 0547 F3 (P2) fix: 改 Option<LogLevel> enum (与 clap ValueEnum
    // 同源校验). 之前是 Option<String> + 运行时手动 LogLevel::from_str_opt,
    // 非法值 (e.g. `log_level = "wtf"`) 走 eprintln + fallback to "info" —
    // BUG-006 fatal-on-typo 语义不继承到此字段. 修后 serde 在 TOML/XML
    // parse 阶段直接拒非法值 → daemon abort + 清晰错误 (包含合法 enum list).
    //
    // serde rename: LogLevel 已 `#[serde(rename_all = "lowercase")]`, 所以
    // TOML `log_level = "info"` / `"debug"` / "off" 全合法, `"wtf"` /
    // `"warning"` (老 alias) 此 path 直接 reject. 旧 lenient alias 只保留在
    // `LogLevel::from_str_opt` 测试 helper 中，防止重新接回 production。
    pub log_level: Option<LogLevel>,
    // codex 0547 F6 (P3) fix: 扩展 schema 让 systemd / Docker 部署能把完整
    // 配置 (含安全相关字段) 收敛进 TOML, 与 `--config` help 文 "字段与 CLI
    // 一致" 契约对齐. 之前 schema 只覆盖登录/监听/RSA/lang/log_level 5 类;
    // 用户在 TOML 写 `rest_keys_file = "..."` 触发 BUG-006 unknown field
    // fatal. 现 schema 含安全字段, 文档同步白名单.
    //
    // CLI-only 字段 (故意不进 TOML, 见下方 `--config` help 段白名单):
    // `device_id` / `reset_device` / `setup_only` / `verify_code` /
    // `json_log` / `inject_auth_failure_every` — 运维 / 调试 / 一次性流程
    // flag, 不适合写持久 config 文件.
    pub rest_keys_file: Option<std::path::PathBuf>,
    pub grpc_keys_file: Option<std::path::PathBuf>,
    pub ws_keys_file: Option<std::path::PathBuf>,
    pub audit_log: Option<std::path::PathBuf>,
    pub allow_tcp_unauthenticated: Option<bool>,
    /// IANA timezone name (e.g. "Asia/Hong_Kong"). 与 --tz CLI flag 同源.
    pub tz: Option<String>,
}

impl std::fmt::Debug for XmlConfig {
    fn fmt(&self, f: &mut std::fmt::Formatter<'_>) -> std::fmt::Result {
        let login_account_fp = self
            .login_account
            .as_deref()
            .map(futu_backend::auth::redact::account_log_fingerprint);
        let login_pwd = redact_debug_option(&self.login_pwd);
        let login_pwd_md5 = redact_debug_option(&self.login_pwd_md5);

        f.debug_struct("XmlConfig")
            .field("login_account_fp", &login_account_fp)
            .field("login_pwd", &login_pwd)
            .field("login_pwd_md5", &login_pwd_md5)
            .field("login_pwd_file", &self.login_pwd_file)
            .field("login_region", &self.login_region)
            .field("platform", &self.platform)
            .field("ip", &self.ip)
            .field("port", &self.port)
            .field("websocket_port", &self.websocket_port)
            .field("telnet_port", &self.telnet_port)
            .field("rest_port", &self.rest_port)
            .field("grpc_port", &self.grpc_port)
            .field("rsa_private_key", &self.rsa_private_key)
            .field("lang", &self.lang)
            .field("log_level", &self.log_level)
            .field("rest_keys_file", &self.rest_keys_file)
            .field("grpc_keys_file", &self.grpc_keys_file)
            .field("ws_keys_file", &self.ws_keys_file)
            .field("audit_log", &self.audit_log)
            .field("allow_tcp_unauthenticated", &self.allow_tcp_unauthenticated)
            .field("tz", &self.tz)
            .finish()
    }
}

fn redact_debug_option(value: &Option<String>) -> String {
    match value {
        Some(value) => format!("<REDACTED len={}>", value.len()),
        None => "<NONE>".to_string(),
    }
}

/// 从 XML 配置文件读取配置 (兼容 C++ <futu_opend> 格式)
pub fn load_xml_config(path: &str) -> Result<XmlConfig> {
    let content = std::fs::read_to_string(path)?;
    let config: XmlConfig = quick_xml::de::from_str(&content)?;
    tracing::info!(path, "loaded XML config");
    Ok(config)
}

/// 从 TOML 配置文件读取配置 (v1.4.2+；字段与 XmlConfig 一致)
///
/// v1.4.102 BUG-006: XmlConfig 加了 `#[serde(deny_unknown_fields)]`, 任何
/// section ([daemon] 等) / typo / unknown key 直接报 fatal error 而非
/// silent drop (历史 P1 bug: `[daemon]\nport=12482` daemon log 说 loaded
/// 但端口实际是 default 11111).
pub fn load_toml_config(path: &str) -> Result<XmlConfig> {
    let content = std::fs::read_to_string(path)?;
    let config: XmlConfig = toml::from_str(&content).map_err(|e| {
        // v1.4.102 BUG-006: 给 deny_unknown_fields 触发的错加 hint
        let msg = e.to_string();
        if msg.contains("unknown field") {
            anyhow::anyhow!(
                "TOML config parse error: {msg}\n\
                 Hint (v1.4.102 BUG-006): TOML 配置必须用 **flat keys**, 不支持 \
                 [section] 嵌套 (如 `[daemon]\\nport = X` 会触发本 error). \
                 正确写法: `port = 12482` 直接放在文件顶层 (no [section] header). \
                 详见 README.md §TOML 配置 / 项目根 deploy/examples/futu-opend.toml 示例."
            )
        } else {
            anyhow::Error::from(e)
        }
    })?;
    // tracing 初始化在 main 里，此时还没 subscriber，用 eprintln
    eprintln!("[config] loaded TOML config from {path}");
    Ok(config)
}

/// 合并后的运行时配置
pub struct RuntimeConfig {
    pub ip: String,
    pub port: u16,
    pub login_account: Option<String>,
    pub login_pwd: Option<String>,
    pub login_pwd_md5: Option<String>,
    pub login_pwd_file: Option<String>,
    pub login_region: String,
    /// v1.4.42 (external reviewer v1.4.40 报告 P3.5 澄清): 标记用户是否显式传了 `--login-region`
    /// （或在 config 文件里写了）。平台是 moomoo + 用户显式传 region → main() 入口 WARN
    /// 明示此 flag 对 moomoo 是 noop。避免用户误以为 "layer 2/3 platform IP 按 region 切"。
    pub login_region_explicit: bool,
    pub platform: Platform,
    pub auth_server: String,
    pub device_id: Option<String>,
    pub reset_device: bool,
    pub setup_only: bool,
    /// v1.4.57 UX-04: 直接传入 SMS 验证码跳过 stdin 交互（Telegram 中继等场景）
    pub verify_code: Option<String>,
    pub log_level: String,
    pub websocket_port: Option<u16>,
    pub telnet_port: Option<u16>,
    pub rest_port: Option<u16>,
    pub grpc_port: Option<u16>,
    pub rsa_private_key: Option<String>,
    pub json_log: bool,
    pub lang: String,
    // codex 0547 F6 (P3): TOML 安全字段 schema 扩展. main() 之前各自从
    // `args.*` 拷, 现统一从 RuntimeConfig 读, TOML 配置生效路径打通.
    pub rest_keys_file: Option<std::path::PathBuf>,
    pub grpc_keys_file: Option<std::path::PathBuf>,
    pub ws_keys_file: Option<std::path::PathBuf>,
    pub audit_log: Option<std::path::PathBuf>,
    pub allow_tcp_unauthenticated: bool,
    pub tz: Option<String>,
}

/// codex 0547 F1+F2 (P2) — explicit user-supplied credential / secret 文件
/// 读取 helper. 用户**显式**(CLI flag 或 TOML/XML config) 传入路径但读取失败
/// 时 fail-closed 返 Err. 让 daemon abort 而非 silent fallback.
///
/// **范围**: 只覆盖 user-supplied (explicit) credential 路径; auto-detect 路径
/// 由 caller 自己选 fallback 行为. 当前调用点:
///
/// - `rsa_private_key`: `--rsa-private-key` / `[rsa_private_key]` (F1)
/// - `login_pwd_file`: `--login-pwd-file` / `[login_pwd_file]` (F2; 仍走老
///   resolve_login_password 7 层链, 但 explicit path 失败 = fatal)
///
/// **fail-closed 触发**:
/// - 文件不存在 / 权限不够 / IO error → Err
/// - 文件存在但 trim 后为空 → Err (用户传了路径但内容空 = 不一致, 常见
///   原因: systemd LoadCredential 失败 / Docker secret mount 漏挂 / file
///   truncated)
///
/// **返回**: `Ok(content_after_trim_trailing_whitespace)`, 失败 `Err`.
///
/// 调用方对 `Err` 的标准处理是直接 `?` propagate 让 daemon abort.
pub fn read_explicit_credential_file(field_label: &'static str, path: &str) -> Result<String> {
    let raw = std::fs::read_to_string(path).map_err(|e| {
        anyhow::anyhow!(
            "audit 0547 (P2) fix: failed to read explicit {field_label} from {path}: {e}\n\
             Explicit credential / secret 路径读失败现在 fail-closed (daemon \
             abort), 不再 silent fallback. 检查: 文件存在 / 权限 / systemd \
             LoadCredential= / Docker secret mount. 如要 explicit opt-out fail-closed \
             behavior, 不传该 flag 即可 (会走 auto-detect / 其他来源)."
        )
    })?;
    let content = raw.trim_end_matches(['\n', '\r', ' ', '\t']).to_string();
    if content.is_empty() {
        return Err(anyhow::anyhow!(
            "audit 0547 (P2) fix: explicit {field_label} at {path} is empty (after \
             trim). 不允许 (常见原因: secret mount 失败 / file truncated / write \
             race). 修文件后重启."
        ));
    }
    Ok(content)
}

/// 合并 CLI args + 配置文件 (CLI 优先)
///
/// 配置文件查找顺序：
///   1. `--config <path>`：TOML（v1.4.2+）
///   2. `--cfg-file <path>`：XML（兼容 C++ FutuOpenD.xml）
///   3. 自动检测：同目录 futu-opend.toml → FutuOpenD.xml
pub fn merge_config(args: Args) -> Result<RuntimeConfig> {
    // v1.4.102 codex 24 F1 (P1) fix: explicit `--config` / `--cfg-file` 加载
    // 失败必须 abort, 不再 silent fallback 到 default.
    //
    // **历史**: BUG-006 修法只让 `XmlConfig` 加 `deny_unknown_fields`, 但
    // 实际 daemon 启动路径在这里把任何 parse error catch 后用 default 继续
    // 跑. 用户写错的 `[daemon]` section 在 `XmlConfig::deserialize` 报错,
    // 但 daemon 仍以 default 启动 (`port=11111` etc.) — silent ignore 并未
    // 真正修在 runtime path 上.
    //
    // **修法 (codex 24 F1)**: explicit path → `?` 返 error abort daemon.
    // **auto-detect path 仍 fallback** (用户没显式指定文件 → default 是合理
    // 行为, 不改).
    let xml = if let Some(ref path) = args.config {
        // TOML 显式指定 → fail-closed (BUG-006 真修, codex 24 F1)
        load_toml_config(path).map_err(|e| {
            anyhow::anyhow!(
                "failed to load explicit --config TOML at {path}: {e}\n\
                 v1.4.102 codex 24 F1 (P1) fix: explicit config 解析失败 daemon abort \
                 (不再 silent fallback to default)."
            )
        })?
    } else if let Some(ref path) = args.cfg_file {
        // XML 显式指定 → fail-closed
        load_xml_config(path).map_err(|e| {
            anyhow::anyhow!(
                "failed to load explicit --cfg-file XML at {path}: {e}\n\
                 v1.4.102 codex 24 F1 (P1) fix: explicit config 解析失败 daemon abort \
                 (不再 silent fallback to default)."
            )
        })?
    } else {
        // 自动检测：优先 futu-opend.toml，其次 FutuOpenD.xml
        let exe_dir = std::env::current_exe()
            .ok()
            .and_then(|p| p.parent().map(|d| d.to_path_buf()));
        if let Some(ref dir) = exe_dir {
            let toml_path = dir.join("futu-opend.toml");
            let xml_path = dir.join("FutuOpenD.xml");
            // v1.4.102 codex 31 F1 (P1) fix: auto-detect config 解析失败也
            // fail-closed (与 explicit --config / --cfg-file 一致). 之前
            // unwrap_or_default 让带 [daemon] section 的 auto-loaded TOML
            // silent fallback to XmlConfig::default(), 与 BUG-006 fatal claim
            // 不一致.
            if toml_path.exists() {
                load_toml_config(&toml_path.to_string_lossy()).map_err(|e| {
                    anyhow::anyhow!(
                        "failed to parse auto-detected futu-opend.toml at {}: {e}\n\
                         v1.4.102 codex 31 F1 (P1): auto-detected config parse \
                         failure 现在也 fail-closed (与 explicit --config 一致). \
                         如不希望此文件加载, 删除或重命名即可.",
                        toml_path.display()
                    )
                })?
            } else if xml_path.exists() {
                load_xml_config(&xml_path.to_string_lossy()).map_err(|e| {
                    anyhow::anyhow!(
                        "failed to parse auto-detected FutuOpenD.xml at {}: {e}\n\
                         v1.4.102 codex 31 F1 (P1): auto-detected config parse \
                         failure 现在也 fail-closed.",
                        xml_path.display()
                    )
                })?
            } else {
                XmlConfig::default()
            }
        } else {
            XmlConfig::default()
        }
    };

    Ok(RuntimeConfig {
        ip: args.ip.or(xml.ip).unwrap_or_else(|| "0.0.0.0".to_string()),
        port: args.port.or(xml.port).unwrap_or(11111),
        login_account: args.login_account.or(xml.login_account),
        login_pwd: args.login_pwd.or(xml.login_pwd),
        login_pwd_md5: args.login_pwd_md5.or(xml.login_pwd_md5),
        login_pwd_file: args.login_pwd_file.or(xml.login_pwd_file),
        // v1.4.40 #12 fix: LoginRegion enum (gz/sh/hk 三个合法值) → string 给下游 auth
        // 使用。enum 已保证合法性，这里 as_str() 转回内部约定的 lowercase 形式。
        // v1.4.42 (P3.5 澄清): login_region_explicit 记录 "是否用户显式传了"，
        // 用于 main() 早期对 moomoo 账户 WARN 这个 flag 对他们 noop。
        login_region_explicit: args.login_region.is_some() || xml.login_region.is_some(),
        login_region: args
            .login_region
            .or(xml.login_region)
            .map(|r| r.as_str().to_string())
            .unwrap_or_else(|| "gz".to_string()),
        // v1.4.14：auth_server 优先级
        //   1. `--auth-server <url>` 显式 URL（最高）
        //   2. `--platform moomoo/futunn` → auth.moomoo.com / auth.futunn.com
        //   3. XML/TOML 里的 platform 字段
        //   4. 默认 auth.futunn.com
        platform: args.platform.or(xml.platform).unwrap_or_default(),
        auth_server: args.auth_server.unwrap_or_else(|| {
            args.platform
                .or(xml.platform)
                .unwrap_or_default()
                .auth_server()
                .to_string()
        }),
        log_level: {
            // codex 0547 F3 (P2) fix: XmlConfig.log_level 改 Option<LogLevel>
            // 之后, 非法值在 toml::from_str / quick_xml::de::from_str 阶段直接
            // reject (与 BUG-006 deny_unknown_fields 同语义级别). 这里只把
            // CLI / config enum 转 lowercase string 给下游使用.
            //
            // v1.4.73 BUG-015 老语义 (eprintln + fallback to "info") 已被淘汰 —
            // explicit user 输入有 typo 必须 daemon abort, 不能 silent
            // 用 default 跑 (反模式 D / pitfall #45 silent-success).
            args.log_level
                .or(xml.log_level)
                .map(|l| l.as_str().to_string())
                .unwrap_or_else(|| "info".to_string())
        },
        websocket_port: args.websocket_port.or(xml.websocket_port),
        telnet_port: args.telnet_port.or(xml.telnet_port),
        rest_port: args.rest_port.or(xml.rest_port),
        grpc_port: args.grpc_port.or(xml.grpc_port),
        rsa_private_key: {
            // codex 0547 F1 (P2) fix: 显式 `--rsa-private-key` / TOML/XML
            // `rsa_private_key` 路径读失败必须 fail-closed (返 Err 让 daemon
            // abort), 不再 silent fallback to "no RSA"。systemd `LoadCredential=`
            // / Docker secret mount 失败时 daemon 仍跑变成无 RSA 模式 = 安全
            // 配置 silent 失效。统一走 `read_explicit_credential_file` helper.
            let key_path = args.rsa_private_key.or(xml.rsa_private_key);
            if let Some(ref path) = key_path {
                let pem = read_explicit_credential_file("--rsa-private-key", path)?;
                eprintln!("loaded RSA private key from {path}");
                Some(pem)
            } else {
                None
            }
        },
        device_id: args.device_id,
        reset_device: args.reset_device,
        setup_only: args.setup_only,
        verify_code: args.verify_code,
        json_log: args.json_log,
        lang: args.lang.or(xml.lang).unwrap_or_else(|| "chs".to_string()),
        // codex 0547 F6 (P3): 安全字段 CLI / TOML 双路径合并. CLI 优先, TOML
        // fallback. allow_tcp_unauthenticated bool 字段无 explicit-false override
        // (clap derive limit), 与 BUG-006 等价 — explicit-true 一定保留.
        rest_keys_file: args.rest_keys_file.or(xml.rest_keys_file),
        grpc_keys_file: args.grpc_keys_file.or(xml.grpc_keys_file),
        ws_keys_file: args.ws_keys_file.or(xml.ws_keys_file),
        audit_log: args.audit_log.or(xml.audit_log),
        allow_tcp_unauthenticated: args.allow_tcp_unauthenticated
            || xml.allow_tcp_unauthenticated.unwrap_or(false),
        tz: args.tz.or(xml.tz),
    })
}

#[cfg(test)]
mod tests;