refactor(client): 优化连接通知和证书部署逻辑

重构连接通知处理逻辑，增加重连机制和状态日志控制
改进证书下载和解压流程，增加安全检查和资源清理
添加下载超时和文件大小格式化功能

Author: orange-juzipi

internal/client/cert_deploy.go

@@ -1,7 +1,6 @@
 package client
 
 import (
-	"archive/tar"
 	"archive/zip"
 	"context"
 	"fmt"
@@ -15,6 +14,10 @@ import (
 	"github.com/orange-juzipi/cert-deploy/internal/config"
 )
 
+const (
+	certsDir = "certs"
+)
+
 // CertDeployer 证书部署器
 type CertDeployer struct {
 	client *Client
@@ -30,7 +33,6 @@ func NewCertDeployer(client *Client) *CertDeployer {
 // DeployCertificate 部署证书
 func (cd *CertDeployer) DeployCertificate(domain, url string) error {
 	// 创建certs目录
-	certsDir := "certs"
 	if err := os.MkdirAll(certsDir, 0755); err != nil {
 		return fmt.Errorf("创建证书目录失败: %w", err)
 	}
@@ -46,47 +48,59 @@ func (cd *CertDeployer) DeployCertificate(domain, url string) error {
 
 	fmt.Printf("证书下载完成: %s\n", zipFile)
 
-	// 2. 检查是否配置了SSL目录
-	sslPath := config.GetConfig().SSL.Path
-	if sslPath != "" {
-		// 证书文件夹名
-		folderName := domain + "_certificates"
-
-		// 1. 解压zip文件
-		extractDir := filepath.Join(certsDir, folderName)
-		if err := cd.extractZip(zipFile, extractDir); err != nil {
-			return fmt.Errorf("解压证书失败: %w", err)
+	// 确保下载失败时清理
+	defer func() {
+		if _, err := os.Stat(zipFile); err == nil {
+			// 部署成功后删除zip文件
+			os.Remove(zipFile)
 		}
+	}()
 
-		// 2. 移动到配置的SSL目录
-		if err := cd.moveCertificates(extractDir, sslPath, folderName); err != nil {
-			return fmt.Errorf("移动证书失败: %w", err)
-		}
+	// 检查是否配置了SSL目录
+	sslPath := config.GetConfig().SSL.Path
+	if sslPath == "" {
+		fmt.Println("未配置SSL目录，证书已下载到: ", zipFile)
+		return nil
+	}
 
-		// 3. 检查nginx是否存在，如果存在则测试配置和重新加载
-		if cd.isNginxAvailable() {
-			// 测试nginx配置
-			if err := cd.testNginxConfig(); err != nil {
-				return fmt.Errorf("nginx配置测试失败: %w", err)
-			}
-
-			// 重新加载nginx
-			if err := cd.reloadNginx(); err != nil {
-				return fmt.Errorf("nginx重新加载失败: %w", err)
-			}
-		} else {
-			fmt.Println("nginx未安装或不在PATH中，跳过nginx相关操作")
+	// 证书文件夹名
+	folderName := domain + "_certificates"
+	extractDir := filepath.Join(certsDir, folderName)
+
+	// 1. 解压zip文件
+	if err := cd.extractZip(zipFile, extractDir); err != nil {
+		// 清理失败的解压文件
+		os.RemoveAll(extractDir)
+		return fmt.Errorf("解压证书失败: %w", err)
+	}
+
+	// 2. 移动到配置的SSL目录
+	if err := cd.moveCertificates(extractDir, sslPath, folderName); err != nil {
+		// 清理失败的解压文件
+		os.RemoveAll(extractDir)
+		return fmt.Errorf("移动证书失败: %w", err)
+	}
+
+	// 3. 检查nginx是否存在，如果存在则测试配置和重新加载
+	if cd.isNginxAvailable() {
+		// 测试nginx配置
+		if err := cd.testNginxConfig(); err != nil {
+			return fmt.Errorf("nginx配置测试失败: %w", err)
 		}
-		fmt.Printf("证书部署完成: %s\n", domain)
 
+		// 重新加载nginx
+		if err := cd.reloadNginx(); err != nil {
+			return fmt.Errorf("nginx重新加载失败: %w", err)
+		}
 	} else {
-		fmt.Println("未配置SSL目录，证书已下载到: ", zipFile)
+		fmt.Println("nginx未安装或不在PATH中，跳过nginx相关操作")
 	}
 
+	fmt.Printf("自动部署流程完成: %s\n", domain)
 	return nil
 }
 
-// extractZip 解压zip文件
+// extractZip 解压zip文件（修复：资源泄露）
 func (cd *CertDeployer) extractZip(zipFile, extractDir string) error {
 	// 创建解压目录
 	if err := os.MkdirAll(extractDir, 0755); err != nil {
@@ -102,118 +116,55 @@ func (cd *CertDeployer) extractZip(zipFile, extractDir string) error {
 
 	// 解压所有文件
 	for _, file := range reader.File {
-		// 构建目标文件路径
-		targetPath := filepath.Join(extractDir, file.Name)
-
-		// 检查路径安全性
-		if !strings.HasPrefix(targetPath, filepath.Clean(extractDir)+string(os.PathSeparator)) {
-			return fmt.Errorf("不安全的文件路径: %s", file.Name)
-		}
-
-		// 创建目录
-		if file.FileInfo().IsDir() {
-			if err := os.MkdirAll(targetPath, file.FileInfo().Mode()); err != nil {
-				return fmt.Errorf("创建目录失败: %w", err)
-			}
-			continue
-		}
-
-		// 创建文件目录
-		if err := os.MkdirAll(filepath.Dir(targetPath), 0755); err != nil {
-			return fmt.Errorf("创建文件目录失败: %w", err)
-		}
-
-		// 打开zip文件中的文件
-		rc, err := file.Open()
-		if err != nil {
-			return fmt.Errorf("打开zip中的文件失败: %w", err)
-		}
-
-		// 创建目标文件
-		outFile, err := os.Create(targetPath)
-		if err != nil {
-			rc.Close()
-			return fmt.Errorf("创建文件失败: %w", err)
-		}
-
-		// 复制文件内容
-		if _, err := io.Copy(outFile, rc); err != nil {
-			rc.Close()
-			outFile.Close()
-			return fmt.Errorf("复制文件内容失败: %w", err)
-		}
-
-		rc.Close()
-		outFile.Close()
-
-		// 设置文件权限
-		if err := os.Chmod(targetPath, file.FileInfo().Mode()); err != nil {
-			return fmt.Errorf("设置文件权限失败: %w", err)
+		if err := cd.extractZipFile(file, extractDir); err != nil {
+			return err
 		}
 	}
 
 	return nil
 }
 
-// extractTar 解压tar文件
-func (cd *CertDeployer) extractTar(tarFile, extractDir string) error {
-	// 创建解压目录
-	if err := os.MkdirAll(extractDir, 0755); err != nil {
-		return fmt.Errorf("创建解压目录失败: %w", err)
+// extractZipFile 解压单个zip文件条目
+func (cd *CertDeployer) extractZipFile(file *zip.File, extractDir string) error {
+	// 使用 filepath.Rel 安全地检查路径
+	targetPath := filepath.Join(extractDir, file.Name)
+	rel, err := filepath.Rel(extractDir, targetPath)
+	if err != nil || strings.HasPrefix(rel, "..") {
+		return fmt.Errorf("不安全的文件路径: %s", file.Name)
 	}
 
-	// 打开tar文件
-	file, err := os.Open(tarFile)
-	if err != nil {
-		return fmt.Errorf("打开tar文件失败: %w", err)
+	// 创建目录
+	if file.FileInfo().IsDir() {
+		return os.MkdirAll(targetPath, file.FileInfo().Mode())
 	}
-	defer file.Close()
-
-	// 创建tar reader
-	tr := tar.NewReader(file)
-
-	// 解压所有文件
-	for {
-		header, err := tr.Next()
-		if err == io.EOF {
-			break
-		}
-		if err != nil {
-			return fmt.Errorf("读取tar文件失败: %w", err)
-		}
 
-		// 构建目标文件路径
-		targetPath := filepath.Join(extractDir, header.Name)
-
-		// 创建目录
-		if header.Typeflag == tar.TypeDir {
-			if err := os.MkdirAll(targetPath, os.FileMode(header.Mode)); err != nil {
-				return fmt.Errorf("创建目录失败: %w", err)
-			}
-			continue
-		}
+	// 创建文件目录
+	if err := os.MkdirAll(filepath.Dir(targetPath), 0755); err != nil {
+		return fmt.Errorf("创建文件目录失败: %w", err)
+	}
 
-		// 创建文件
-		if err := os.MkdirAll(filepath.Dir(targetPath), 0755); err != nil {
-			return fmt.Errorf("创建文件目录失败: %w", err)
-		}
+	// 打开zip文件中的文件
+	rc, err := file.Open()
+	if err != nil {
+		return fmt.Errorf("打开zip中的文件失败: %w", err)
+	}
+	defer rc.Close()
 
-		outFile, err := os.Create(targetPath)
-		if err != nil {
-			return fmt.Errorf("创建文件失败: %w", err)
-		}
+	// 创建目标文件
+	outFile, err := os.Create(targetPath)
+	if err != nil {
+		return fmt.Errorf("创建文件失败: %w", err)
+	}
+	defer outFile.Close()
 
-		// 复制文件内容
-		if _, err := io.Copy(outFile, tr); err != nil {
-			outFile.Close()
-			return fmt.Errorf("复制文件内容失败: %w", err)
-		}
-		outFile.Close()
+	// 复制文件内容
+	if _, err := io.Copy(outFile, rc); err != nil {
+		return fmt.Errorf("复制文件内容失败: %w", err)
+	}
 
-		// 设置文件权限
-		if err := os.Chmod(targetPath, os.FileMode(header.Mode)); err != nil {
-			return fmt.Errorf("设置文件权限失败: %w", err)
-		}
+	// 设置文件权限
+	if err := os.Chmod(targetPath, file.FileInfo().Mode()); err != nil {
+		return fmt.Errorf("设置文件权限失败: %w", err)
 	}
 
 	return nil
@@ -229,19 +180,23 @@ func (cd *CertDeployer) moveCertificates(sourceDir, sslPath, folderName string)
 	// 构建目标路径
 	targetDir := filepath.Join(sslPath, folderName)
 
-	// 如果目标目录已存在，先删除
+	// 如果目标目录已存在，先备份
 	if _, err := os.Stat(targetDir); err == nil {
-		if err := os.RemoveAll(targetDir); err != nil {
-			return fmt.Errorf("删除已存在的目录失败: %w", err)
+		backupDir := targetDir + ".backup"
+		// 删除旧备份
+		os.RemoveAll(backupDir)
+		// 移动现有目录到备份
+		if err := os.Rename(targetDir, backupDir); err != nil {
+			return fmt.Errorf("备份现有目录失败: %w", err)
 		}
 	}
 
-	// 直接移动整个文件夹
+	// 移动新证书到目标位置
 	if err := os.Rename(sourceDir, targetDir); err != nil {
 		return fmt.Errorf("移动证书文件夹失败: %w", err)
 	}
 
-	fmt.Printf("移动证书文件夹: %s -> %s\n", sourceDir, targetDir)
+	fmt.Printf("证书文件夹已更新: %s\n", targetDir)
 	return nil
 }