合并前后端成单一镜像

[jokyo02]

单一镜像端口修改成huggingface的7860，便于直接部署

[gemini-code-assist]

Summary of Changes

Hello @jokyo02, I'm Gemini Code Assist¹! I'm currently reviewing this pull request and will post my feedback shortly. In the meantime, here's a summary to help you and other reviewers quickly get up to speed!

此拉取请求旨在通过将前端和后端服务整合到一个 Docker 镜像中，并调整端口配置以适应 Hugging Face 部署环境，从而优化应用程序的部署策略。核心改动包括引入一个多阶段构建的 Dockerfile 和一个自定义的 Python 启动脚本，以统一处理静态文件服务和 API 路由。

Highlights

• 单一镜像构建: 引入了一个新的 Dockerfile.combined 文件，用于将前端和后端应用程序合并到一个单一的 Docker 镜像中，简化了部署流程。
• 端口配置: 修改了应用程序的默认端口为 7860，以适应 Hugging Face 平台的部署要求，便于直接部署。
• 新的启动脚本: 创建了一个名为 hf_runner.py 的 Python 脚本。此脚本负责启动 Flask 应用，处理静态文件服务，并管理单页应用 (SPA) 的路由，确保前端路由在后端正确回退到 index.html。
• 后端路由调整: 在 backend/app.py 中，将原有的根路由 (/) 更改为 /api/info。现在，根路由 (/) 由 hf_runner.py 接管，用于提供前端的 index.html。

Ignored Files

• Ignored by pattern: .github/workflows/** (1)
  • .github/workflows/docker-publish.yml

Using Gemini Code Assist

The full guide for Gemini Code Assist can be found on our documentation page, here are some quick tips.

Invoking Gemini

You can request assistance from Gemini at any point by creating a comment using either /gemini <command> or @gemini-code-assist <command>. Below is a summary of the supported commands on the current page.

Feature	Command	Description
Code Review	/gemini review	Performs a code review for the current pull request in its current state.
Pull Request Summary	/gemini summary	Provides a summary of the current pull request in its current state.
Comment	@gemini-code-assist	Responds in comments when explicitly tagged, both in pull request comments and review comments.
Help	/gemini help	Displays a list of available commands.

Customization

To customize Gemini Code Assist for GitHub experience, repository maintainers can create a configuration file and/or provide a custom code review style guide (such as PEP-8 for Python) by creating and adding files to a .gemini/ folder in the base of the repository. Detailed instructions can be found here.

Limitations & Feedback

Gemini Code Assist may make mistakes. Please leave feedback on any instances where its feedback is incorrect or counter productive. You can react with 👍 and 👎 on @gemini-code-assist comments. If you're interested in giving your feedback about your experience with Gemini Code Assist for Github and other Google products, sign up here.

You can also get AI-powered code generation, chat, as well as code reviews directly in the IDE at no cost with the Gemini Code Assist IDE Extension.

Footnotes

1. Review the Privacy Notices, Generative AI Prohibited Use Policy, Terms of Service, and learn how to configure Gemini Code Assist in GitHub here. Gemini can make mistakes, so double check it and use code with caution. ↩

[gemini-code-assist]

Code Review

本次合并前后端为单一镜像的尝试是很好的方向，可以简化部署。新的 Dockerfile.combined 文件通过多阶段构建实现了这个目标。然而，当前的实现存在一些严重的安全和生产环境适用性问题，需要解决。主要问题包括不安全的文件权限、在生产镜像中使用了开发服务器，以及一个路径遍历漏洞。此外，在代码可维护性方面也有提升空间，例如将启动脚本外部化，以及使用更健壮的Python依赖管理方式。backend/app.py 中的路由修改对于这个新架构是合适的。

[gemini-code-assist]

在生产环境的 Docker 镜像中，不应使用 Flask 内置的开发服务器 (app.run)。它性能低下，且不具备生产级 WSGI 服务器（如 Gunicorn, uWSGI）的健壮性和安全特性。Dockerfile 中已经安装了 gunicorn，但没有使用。

建议:
移除 hf_runner.py 中的 if __name__ == '__main__': 启动块。应用的启动应交由 Gunicorn 等 WSGI 服务器管理。数据库初始化等一次性任务可以通过一个单独的启动脚本或者 entrypoint 来执行。

[gemini-code-assist]

执行 chmod -R 777 /app 会给应用目录和所有文件赋予了全局可读、可写、可执行的权限，这是一个严重的安全隐患。任何能够访问容器的用户（包括可能被利用的进程）都可以修改应用代码。

建议:
删除此行。作为替代，应在 Dockerfile 中创建一个非 root 用户来运行应用，并使用 chown 将 /app 目录的所有权赋予该用户。这是容器安全的基本实践。例如：

# ...
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
RUN chown -R appuser:appgroup /app
USER appuser
# ...
CMD [...]

[gemini-code-assist]

应用的启动指令应使用生产级的 WSGI 服务器，而不是直接运行 Python 脚本。这能提供更好的性能、并发处理和稳定性。

建议:
使用 gunicorn 来启动应用。hf_runner.py 中定义的 app 对象可以被 Gunicorn 自动发现。

CMD ["gunicorn", "--bind", "0.0.0.0:7860", "--workers", "4", "hf_runner:app"]

[gemini-code-assist]

将整个 hf_runner.py 脚本通过 heredoc 方式嵌入 Dockerfile 中，会使 Dockerfile 变得臃肿、难以阅读和维护。同时，这也使得脚本本身无法被静态分析工具（如 linter）检查，也不方便进行单元测试。

建议:
将此脚本作为一个独立文件（例如 hf_runner.py）保存在代码库中，然后在 Dockerfile 中使用 COPY hf_runner.py . 指令将其复制到镜像中，并删除当前的 RUN cat <<EOF ... EOF 块。

[gemini-code-assist]

此处的 catch_all 路由存在路径遍历漏洞。os.path.join 不会阻止 path 参数中的 ../，导致 full_path 可以指向 STATIC_DIR 目录之外。虽然 send_from_directory 本身是安全的，不会返回目录之外的文件，但 os.path.exists(full_path) 的检查会泄露服务器上任意文件或目录是否存在，这属于信息泄露漏洞。

建议:
修改此逻辑，通过解析绝对路径并验证其是否在 STATIC_DIR 内来安全地检查文件。

    full_path = os.path.abspath(os.path.join(STATIC_DIR, path))
    if full_path.startswith(STATIC_DIR) and os.path.isfile(full_path):
        return send_from_directory(STATIC_DIR, path)

[gemini-code-assist]

在 Dockerfile 中动态生成 requirements.txt 并附加额外的 pip install 命令，会使依赖管理变得脆弱且难以复现。pipreqs 可能无法扫描到所有依赖（如此处手动安装 gunicorn 等库就证明了这一点），导致构建结果不稳定。

建议:

1. 在 backend 目录下创建一个 requirements.txt 文件，并手动列出所有必需的依赖项。
2. 将该文件提交到版本库。
3. 在 Dockerfile 中，用 COPY backend/requirements.txt . 和 RUN pip install -r requirements.txt 来替代当前的依赖安装步骤。这能确保构建的可复现性和依赖的清晰性。

[gemini-code-assist]

使用空的 except: pass 会捕获并静默所有类型的异常，包括程序错误和配置问题。这会导致在数据库初始化失败时没有任何提示，极大地增加了调试难度。

建议:
至少要捕获具体的 Exception 并打印错误信息，以便在出现问题时能够追踪。

        except Exception as e:
            print(f"Database initialization failed: {e}")