feat: 实现设备管理与会话管理功能

## 新增功能

### 后端
- 新增 Redis 会话缓存 (app/core/redis.py)
  - 连接池管理，熔断机制
  - cache_session, get_cached_session, delete_cached_session
- 新增会话认证依赖 (app/api/deps.py)
  - Redis 缓存优先查询
  - 防抖机制 (5分钟节流)
  - IP 严格模式支持
- 新增用户会话 API (app/api/user_sessions.py)
  - GET /users/me/sessions - 获取会话列表
  - DELETE /users/me/sessions/{id} - 删除单个会话
  - DELETE /users/me/sessions - 删除所有其他会话
  - POST /users/me/sessions/refresh - 刷新会话
- 新增用户会话模型 (app/models/user_session.py)
  - 设备 ID、IP 地址追踪
  - last_active_at, last_ip_address 字段
- 新增拼音工具 (app/services/pinyin_utils.py)
- 登录接口增强 (app/api/users.py)
  - 设备 ID/名称收集
  - 登录频率限制
  - IP 设备数量限制
  - Cookie-based 认证

### 前端
- 新增设备管理页面 (DeviceManagement.tsx)
  - 会话列表展示
  - 踢出单个/全部设备
  - 会话刷新
- 新增设备 ID 工具 (lib/deviceId.ts)
- API 客户端增强 (client.ts)
  - SessionInfo 类型定义
  - sessionAPI (list/delete/deleteAll/refresh)
- 布局增强 (Layout.tsx)
  - 设备管理入口
  - 用户信息显示

## 性能优化
- Redis 缓存优先策略 (0 DB 消耗目标)
- 防抖前置：仅在必要时更新数据库
- 后台任务异步写库

## 重构
- 表格组件重构 (DataTable.tsx)
- 清单页面优化 (Inventory.tsx)
- 已完成任务文档移至 docs/done/

Author: hzb666

.gitignore

@@ -24,6 +24,11 @@ env/
 !.vscode/extensions.json
 .idea/
 .cursor/
+.history/
+.claude/
+.kilocode/
+.sonar/
+.docs/
 *.sw?
 *.swo
 

.kilocode/mcp.json

@@ -1 +1,3 @@
-{"mcpServers":{"filesystem":{"command":"npx","args":["-y","@modelcontextprotocol/server-filesystem","D:\\Code"],"disabled":false,"alwaysAllow":["read_text_file","read_multiple_files","read_file"]}}}
+{
+  "mcpServers": {}
+}

.kilocode/rules/GIT_STRATEGY.md

@@ -1,7 +1,9 @@
 # Git 分支管理规范
 
 不要更改此文档！
+不要删除任何未提交的文件除非我同意，危险命令：git clean
 本项目采用 Git Flow 工作流，包含以下分支类型：
+
 ## 注意事项
 
 1. **禁止在 main 分支直接开发**
@@ -11,28 +13,27 @@
 
 ## 分支类型
 
-| 分支 | 用途 | 生命周期 | 合并目标 |
-|-----|------|---------|---------|
-| `main` | 生产环境，包含稳定发布版本 | 长期 | - |
-| `develop` | 开发主分支，包含最新开发成果 | 长期 | `main` |
-| `feature/*` | 新功能开发 | 临时 | `develop` |
-| `release/*` | 发布前准备（bug修复、文档更新） | 临时 | `main` + `develop` |
-| `hotfix/*` | 生产环境紧急修复 | 临时 | `main` + `develop` |
+| 分支          | 用途                            | 生命周期 | 合并目标               |
+| ------------- | ------------------------------- | -------- | ---------------------- |
+| `main`      | 生产环境，包含稳定发布版本      | 长期     | -                      |
+| `develop`   | 开发主分支，包含最新开发成果    | 长期     | `main`               |
+| `feature/*` | 新功能开发                      | 临时     | `develop`            |
+| `release/*` | 发布前准备（bug修复、文档更新） | 临时     | `main` + `develop` |
+| `hotfix/*`  | 生产环境紧急修复                | 临时     | `main` + `develop` |
 
 ## 提交规范
 
-| 类型 | 说明 |
-|-----|------|
-| `feat` | 新功能 |
-| `fix` | Bug修复 |
-| `docs` | 文档更新 |
-| `refactor` | 代码重构 |
-| `perf` | 性能优化 |
-| `chore` | 构建/工具变动 |
+| 类型         | 说明          |
+| ------------ | ------------- |
+| `feat`     | 新功能        |
+| `fix`      | Bug修复       |
+| `docs`     | 文档更新      |
+| `refactor` | 代码重构      |
+| `perf`     | 性能优化      |
+| `chore`    | 构建/工具变动 |
 
 格式：`类型: 简短描述`
 
-
 ## 命名规范
 
 ```
@@ -46,6 +47,7 @@ hotfix/security-fix
 ## 工作流程
 
 ### 功能开发 (Feature)
+
 ```bash
 # 1. 创建功能分支
 git checkout develop
@@ -62,6 +64,7 @@ git push origin develop
 ```
 
 ### 发布准备 (Release)
+
 ```bash
 # 1. 创建 release 分支
 git checkout develop
@@ -82,6 +85,7 @@ git push origin develop
 ```
 
 ### 紧急修复 (Hotfix)
+
 ```bash
 # 1. 创建 hotfix 分支
 git checkout main
@@ -99,5 +103,3 @@ git checkout develop
 git merge --no-ff hotfix/xxx
 git push origin develop
 ```
-
-

.kilocode/rules/Rules.md

@@ -8,7 +8,7 @@
 1.  **Concurrency**: 初始化 SQLite 时必须启用 **WAL Mode**。
 2.  **CAS Normalization**: 所有涉及 CAS 号的输入，必须在后端进行标准化清洗（去除空格、大写）。这是系统的防重基石。
 3.  **Image Optimization**: 禁止将图片存入数据库 Blob。必须在后端使用 Pillow 压缩至 <100KB 并存入文件系统。
-4.  **No Mobile Dependency**: 系统设计不依赖扫码枪或手机摄像头。所有流程闭环在 PC/平板 Web 端完成。
+4.  **不要删除任何未提交的文件除非我同意，危险命令：git clean**
 5.  **Git Commit**: 完成重大修改后，切换到Review模式在当前对话进行Code Review，给出报告与我进行讨论，讨论完成后更新`Readme.md`，更新`milestone.md`，之后执行git提交，注意分支和提交信息。
 6.  **Chinese**: 前端使用中文展示（除英文名称等），后端保存用英文方便管理（除中文名称等），因此需要添加映射表
 7.  **Debug**:我会将我自己发现的问题记录在 `BUGS.md`，在debug时请做好相关记录，你进行代码审查时发现的问题也要写入此文档

app/api/deps.py

@@ -0,0 +1,182 @@
+import hashlib
+from datetime import datetime, timezone
+from typing import Optional
+
+from fastapi import BackgroundTasks, Depends, HTTPException, Request, status
+from sqlmodel import Session, select
+
+from app.core.config import settings
+from app.core.redis import cache_session, delete_cached_session, get_cached_session
+from app.database import get_db, engine  # 必须引入 engine 供后台任务使用
+from app.models.user import User
+from app.models.user_session import UserSession
+
+def compute_token_hash(token: str) -> str:
+    """计算 Token 的 SHA-256 哈希值"""
+    return hashlib.sha256(token.encode()).hexdigest()
+
+def _update_activity_task(session_id: int, current_ip: str) -> None:
+    """
+    后台同步更新任务：更新最后活跃时间与最后活动 IP。
+    由 FastAPI 放入线程池运行，不会阻塞主事件循环。
+    （防抖逻辑已前置到主流程，这里直接执行 DB 操作）
+    """
+    with Session(engine) as db:
+        session = db.get(UserSession, session_id)
+        if session:
+            session.last_active_at = datetime.now(timezone.utc)
+            # 如果活动 IP 变了，记录最新的 IP
+            if current_ip and session.last_ip_address != current_ip:
+                session.last_ip_address = current_ip
+            db.add(session)
+            db.commit()
+
+
+def get_current_session(
+    request: Request,
+    background_tasks: BackgroundTasks,
+    db: Session = Depends(get_db)
+) -> tuple[User, UserSession]:
+    """
+    获取当前认证用户和会话
+    """
+    credentials_exception = HTTPException(
+        status_code=status.HTTP_401_UNAUTHORIZED,
+        detail="Could not validate credentials",
+        headers={"WWW-Authenticate": "Bearer"},
+    )
+    
+    # 1. 提取 Token
+    token = request.cookies.get("access_token")
+    if not token:
+        auth_header = request.headers.get("Authorization")
+        if auth_header and auth_header.startswith("Bearer "):
+            token = auth_header[7:]
+    
+    if not token:
+        raise credentials_exception
+    
+    # 2. 计算 Hash 并获取 IP
+    token_hash = compute_token_hash(token)
+    client_ip = request.client.host if request.client else "unknown"
+    
+    # 3. Redis 缓存优先查询 (0 DB 消耗目标)
+    cached_data = get_cached_session(token_hash)
+    if cached_data:
+        expires_at = datetime.fromisoformat(cached_data["expires_at"])
+        if expires_at < datetime.now(timezone.utc):
+            delete_cached_session(token_hash)
+            raise HTTPException(
+                status_code=status.HTTP_401_UNAUTHORIZED,
+                detail="Session expired"
+            )
+        
+        # 严格 IP 绑定检查：对比的是首次登录的 ip_address
+        if cached_data.get("ip_address") != client_ip and settings.session_strict_ip:
+            raise HTTPException(
+                status_code=status.HTTP_401_UNAUTHORIZED,
+                detail="IP address changed"
+            )
+            
+        if not cached_data.get("is_active", True):
+            delete_cached_session(token_hash)
+            raise credentials_exception
+
+        # 从缓存恢复 User 和 Session
+        user = User(
+            id=cached_data["user_id"],
+            username=cached_data["username"],
+            is_active=cached_data.get("is_active", True)
+        )
+        
+        session = UserSession(
+            id=cached_data.get("session_id"),
+            user_id=user.id,
+            device_id=cached_data.get("device_id"),
+            device_name=cached_data.get("device_name"),
+            ip_address=cached_data.get("ip_address"),
+            last_ip_address=cached_data.get("last_ip_address", client_ip), # 优先从缓存取
+            user_agent=cached_data.get("user_agent", ""),
+            token_hash=token_hash,
+            expires_at=expires_at,
+            last_active_at=datetime.fromisoformat(cached_data["last_active_at"]) if cached_data.get("last_active_at") else None
+        )
+
+        # --- 核心优化点：防抖前置 ---
+        # 只有距离上次记录超过 5 分钟，或者 IP 发生了变动，才去更新 Redis 和 数据库
+        needs_update = False
+        now_utc = datetime.now(timezone.utc)
+        
+        if session.last_active_at:
+            if (now_utc - session.last_active_at).total_seconds() >= 300:
+                needs_update = True
+        else:
+            needs_update = True
+            
+        if session.last_ip_address != client_ip:
+            needs_update = True
+
+        if needs_update:
+            # 1. 触发后台写库任务（此时才触发，极大缓解并发写库问题）
+            background_tasks.add_task(_update_activity_task, session.id, client_ip)
+            
+            # 2. 刷新 Redis 缓存（不仅续期，也更新最后活跃时间和最后 IP）
+            cached_data["last_active_at"] = now_utc.isoformat()
+            cached_data["last_ip_address"] = client_ip
+            cache_session(
+                token_hash,
+                cached_data,
+                int((expires_at - now_utc).total_seconds())
+            )
+            
+            # 同步更新当前流程内存对象的值
+            session.last_active_at = now_utc
+            session.last_ip_address = client_ip
+        
+        return user, session
+
+    # 4. 缓存未命中：从数据库查询
+    session = db.exec(select(UserSession).where(UserSession.token_hash == token_hash)).first()
+    
+    if not session:
+        raise credentials_exception
+    
+    if session.expires_at < datetime.now(timezone.utc):
+        db.delete(session)
+        db.commit()
+        raise HTTPException(status_code=401, detail="Session expired")
+    
+    if session.ip_address != client_ip and settings.session_strict_ip:
+        raise HTTPException(status_code=401, detail="IP address changed")
+
+    user = db.get(User, session.user_id)
+    if not user or not user.is_active:
+        raise credentials_exception
+    
+    # 缓存未命中时，说明刚登录或者缓存刚过期，直接在当前流程更新
+    session.last_active_at = datetime.now(timezone.utc)
+    session.last_ip_address = client_ip
+    db.add(session)
+    db.commit()
+    db.refresh(session)
+    
+    # 5. 回填 Redis 缓存（加入 last_ip_address）
+    cache_session(
+        token_hash,
+        {
+            "session_id": session.id,
+            "user_id": user.id,
+            "username": user.username,
+            "is_active": user.is_active,
+            "device_id": session.device_id,
+            "device_name": session.device_name,
+            "ip_address": session.ip_address,
+            "last_ip_address": session.last_ip_address, # 缓存 last_ip
+            "user_agent": session.user_agent,
+            "expires_at": session.expires_at.isoformat(),
+            "last_active_at": session.last_active_at.isoformat(),
+        },
+        int((session.expires_at - datetime.now(timezone.utc)).total_seconds())
+    )
+    
+    return user, session