3 Commits

Author	SHA1	Message	Date
邓雨鹏	603f78b77f	feat(pointview): 新增「场景/点位」页签——正交俯视真实场景底图 + 点位精确叠加 ... 第三个页签(与海选审核/演出配置平级)，只读查看每个点位集里各点的真实 位置/朝向，配 move.to/camera.focus 时对照用，不必回 Unity 翻 json。 - pointview.js: 独立白模点位查看器(按 kind 上色/朝向箭头/悬停坐标/侧栏清单)； 有底图则把正交俯视真实场景图当画布底图、点位按 shot.bounds 线性投上去 (像素级对齐家具)，带显隐开关；无底图回退黑底白模。 - app.py: /api/pointsets 给有底图的点位集附 shot{url,bounds}；新增 /sceneshot/{name}.png 路由(防目录穿越)。 - Dockerfile/compose: 加 STORY_SCENESHOTS_DIR(/sceneshots) env + 挂载点与注释。 底图由 SGame 仓新增 Editor 工具「剧情场景俯视抓拍」产出 ({name}.png + {name}.shot.json，map-local 覆盖范围)。	2026-06-14 11:13:45 +08:00
邓雨鹏	90402c4a17	security: 每人一把口令(口令即身份) + 随机会话token + 无配置拒绝启动 + 爆破节流 ... - STORY_WEB_PASSWORD(默认story) 废弃 → STORY_WEB_USERS=名字1:口令1,名字2:口令2； 未配置/口令<8位/口令或用户名重复 → 启动即退出，杜绝弱默认口令裸奔 - cookie 不再存口令原文：登录发 secrets.token_urlsafe(32) 随机token， 会话存 SQLite sessions 表(30天)；登出删token；从 USERS 移除某人=吊销其全部会话 - updated_by 改由服务端按会话身份填写，前端自报 by 不再可信；登录框去掉昵称字段 - 登录失败全局递增节流(最多sleep 5s)，口令比较用 secrets.compare_digest - Dockerfile/compose 移除一切口令默认值；compose 未设 STORY_WEB_USERS 直接报错 - 顺手修 playtest.js 走位/动画/out_ref 行未转义的存储型XSS(esc补齐)	2026-06-10 17:34:50 +08:00
bia	f5669dc01d	init: 剧情事件协作 Web 编辑器独立仓（从 SGame/tools/event_authoring 拆出）	2026-06-08 16:50:27 +08:00