6.9 KiB
6.9 KiB
Deep Code Review: ocswitch
Date: 2026-04-17
Reviewer: Apale
Scope: internal/config, internal/proxy, internal/opencode, internal/cli, README.md
Verification: go test ./..., go test -race ./...
Summary
本次 review 未发现立即可触发的数据破坏级致命 bug,但确认存在 2 个高风险项、4 个中风险项,以及 4 个低风险/改进项。高风险集中在配置文件并发写入和代理入站 body 无读取超时;中风险集中在流式连接悬挂、错误语义丢失、OpenCode 默认模型静默写坏,以及默认本地 API Key 在非 loopback 场景下的暴露风险。
High Risk
1. Config/OpenCode save path is not truly safe under concurrent writers
- Files:
internal/config/config.go:147-175internal/opencode/opencode.go:84-97
- Problem:
- 两处保存逻辑都使用固定临时文件名
path + ".tmp",且没有文件锁。 opencode.Save还属于 read-modify-write,基于旧文件内容生成新内容,存在并发 stale read 覆盖问题。
- 两处保存逻辑都使用固定临时文件名
- Trigger:
- 两个 CLI 进程、两个自动化脚本或未来后台流程同时写同一配置文件。
- Impact:
- 临时文件互相覆盖、最后写入者静默丢掉前一个更新、配置内容回退或错乱。
- Recommended fix:
- 抽公共原子写 helper。
- 使用
os.CreateTemp(dir, base+".*.tmp")创建唯一 tmp。 - 写入后
Sync文件、Close、Rename,然后Sync父目录。 - 外层增加 advisory file lock。
opencode.Save必须在锁内完成 read-modify-write,避免旧快照覆盖新文件。
2. Proxy request body has no read timeout after headers
- Files:
internal/proxy/server.go:79-83internal/proxy/server.go:148-151
- Problem:
- 仅配置
ReadHeaderTimeout,body 通过io.ReadAll(http.MaxBytesReader(...))全量读取,没有 body read timeout。
- 仅配置
- Trigger:
- 客户端快速发完 headers,然后慢速发送 body 或中途长期停住。
- Impact:
- slowloris 式连接占用,长期占住 goroutine/socket,代理容易被低成本拖死。
- Recommended fix:
- 给
http.Server增加ReadTimeout,至少覆盖 header+body 接收阶段。 - 若后续 body 可能变大,再把该值做成配置项。
- 将底层超时统一映射成稳定的客户端错误,而不是直接回传底层 I/O 文本。
- 给
Medium Risk
3. Streaming response has no idle timeout once bytes start flowing
- Files:
internal/proxy/server.go:61-64internal/proxy/server.go:307-323
- Problem:
http.Client.Timeout = 0,流式转发阶段没有任何后续 idle timeout。
- Trigger:
- 上游先返回部分 chunk,随后长时间不再发送数据也不主动断开。
- Impact:
- 请求长期挂起,占住上下游连接与 handler,累计后形成资源耗尽。
- Recommended fix:
- 非流式请求使用整体超时。
- 流式请求增加“空闲超时”而非“总超时”,超时后取消上游 context 并中断转发。
4. Retryable upstream failures are collapsed into a generic 502
- Files:
internal/proxy/server.go:216-217internal/proxy/server.go:257-260
- Problem:
- 上游
429/5xx被当作可重试失败吞掉;所有 target 都失败时统一返回502 all upstream targets failed。
- 上游
- Trigger:
- 单个 target 返回
429/5xx,或所有 target 都返回 retryable failure。
- 单个 target 返回
- Impact:
- 客户端无法拿到真实
429、Retry-After、上游错误体;限流与退避语义丢失,排障信息也被抹平。
- 客户端无法拿到真实
- Recommended fix:
tryOnce返回结构化失败信息(status/headers/body)。- 失败链耗尽且尚未向下游写字节时,优先透传最后一个上游错误,至少保留
429、Retry-After、Content-Type和裁剪后的 body。
5. opencode sync --set-model can silently write an invalid default model
- Files:
internal/cli/opencode.go:82-93
- Problem:
--set-model和--set-small-model不校验输入是否是当前可路由 alias。
- Trigger:
- 用户输入不存在的 alias、已禁用 alias 或不符合
ocswitch/<alias>约定的值。
- 用户输入不存在的 alias、已禁用 alias 或不符合
- Impact:
sync表面成功,但会把 OpenCode 顶层默认模型写成无效值,形成静默坏配置。
- Recommended fix:
- 仅接受
ocswitch/<alias>形式。 <alias>必须存在于cfg.AvailableAliasNames()。- 报错时给出候选 alias 列表。
- 仅接受
6. Fixed default local API key remains unsafe when binding to non-loopback addresses
- Files:
internal/config/config.go:18-20internal/config/config.go:83-89internal/config/config.go:392-395internal/proxy/server.go:120-133
- Problem:
- 默认本地 API Key 为固定公开值
ocswitch-local,同时校验逻辑未阻止用户在非 loopback 监听时继续使用默认 key。
- 默认本地 API Key 为固定公开值
- Trigger:
- 用户将
server.host设置为0.0.0.0、局域网 IP、容器映射地址等。
- 用户将
- Impact:
- 网络上任何知道默认 key 的访问者都可直接调用代理并消耗上游额度。
- Recommended fix:
- 在
Validate()中增加约束:非 loopback 监听时拒绝默认 key。 - 更稳妥方案是首次生成随机 key,只在纯本机模式允许默认值。
- 在
Low Risk / Improvement Options
7. Alias lifecycle is incomplete in CLI
- File:
internal/cli/alias.go:35-84 - Problem:
- 缺少
alias enable/disable,alias 一旦禁用后没有 CLI 恢复路径。
- 缺少
- Options:
- 增加
alias enable/alias disable子命令。 - 将
alias add改成三态更新:未指定、启用、禁用。
- 增加
8. Import behavior and docs are inconsistent for empty API key
- Files:
internal/opencode/opencode.go:581-594internal/cli/provider.go:273-275
- Problem:
- 实现允许导入只有
baseURL、没有apiKey的 provider,但帮助文本/README 表述为需要两者同时存在。
- 实现允许导入只有
- Options:
- 收紧实现,要求
apiKey != ""。 - 或放宽文档,明确允许导入空 key provider。
- 收紧实现,要求
9. opencode sync still has broader side effects than users may expect
- Files:
internal/opencode/opencode.go:58-60internal/opencode/opencode.go:80-83internal/opencode/opencode.go:424-428
- Problem:
opencode sync会丢失 JSONC 注释,还可能补写$schema。
- Options:
- 在 CLI help/README 中明确副作用。
- 长期方案是引入更细粒度的 JSONC patch 机制,尽量避免无关键重写。
10. Header forwarding is still broader than ideal
- Files:
internal/proxy/server.go:394-440
- Problem:
- 目前只做固定 hop-by-hop 过滤,转发策略仍偏黑名单。
- Options:
- 解析
Connection动态声明的 hop-by-hop headers 并移除。 - 逐步收敛成最小白名单转发。
- 解析
Testing Notes
go test ./...passedgo test -race ./...passed
Coverage Gaps Observed
- 未覆盖并发写配置文件的场景
- 未覆盖慢速 body 读取超时场景
- 未覆盖全部上游
429/5xx时的错误透传语义 - 未覆盖
--set-model/--set-small-model非法值校验