MAX API Release Notes2026-06-21 ~ 2026-06-22概览本次更新以界面重构、后台设置优化、鉴权安全加固和文档补全为主。主要更新前端体验重构优化首页排版、文案层级、毛玻璃面板、动态扫描线、网格背景和响应式布局。重新设计登录页 UI将首页球形视觉复用到登录场景并支持使用后台配置的系统徽标。优化导航栏展示并新增 MAX API GitHub 入口。后台治理能力新增“排行榜”独立开关可在后台单独控制排行榜页面是否启用、是否要求登录访问。将RankingsModule从旧的HeaderNavModules中拆分为独立配置项同时保留旧配置回退逻辑。收敛前端导航模块解析逻辑减少 HeaderNav 配置解析的重复实现。优化系统设置表单的保存、重置和配置合并逻辑降低 stale write 风险。日志与审计状态接口新增日志审计开关信息前端可展示当前日志审计是否开启。使用日志页面新增“日志审计已开启 / 已关闭”状态标识。当后台开启请求或响应内容审计时普通用户可在其有权限访问的日志详情中看到对应审计内容。用户侧日志会剥离管理员专用字段仅暴露允许用户可见的audit_info。新增后端测试覆盖用户侧日志审计内容暴露和关闭场景。安全加固会话鉴权改为基于最新用户缓存刷新避免用户被禁用或降权后旧 session 继续保留原权限。新增SESSION_COOKIE_SECURE环境变量用于控制 session cookie 是否启用 Secure。Gin trusted proxies 改为显式配置默认信任本机与私网地址段并支持TRUSTED_PROXIES覆盖。TokenAuthReadOnly现在拒绝禁用和过期 token仅允许额度耗尽 token 查询自身只读用量或日志。SSRF 防护增强对域名解析后的 IP 进行校验并在受保护 HTTP Client 中绑定最终拨号地址降低 DNS rebinding 风险。SSRF 保护客户端禁用环境代理避免代理侧解析绕过本机目的地址校验。Midjourney / 视频代理等链路对 SSRF protected client 的使用做了补强。工程质量与 CI新增 GitHub Actions CI覆盖后端测试、go vet、JSON wrapper policy、前端 typecheck 和 build。修复 release workflow统一 MAX API 构建产物命名为max-api-*。Release 构建改为从webworkspace 安装依赖再构建web/default。固定 Bun 版本为1.3.14提高 CI / Release 构建稳定性。新增tools/jsonwrapcheck用于阻止新增业务代码直接调用encoding/json。更新 JSON wrapper allowlist清理失效条目。文档与社区信息README 增加社区访问信息GitHubhttps://github.com/MAX-API-NextQQ950126533微信群搜索 MAX-API修正 README 语言入口链接。新增 v1.0.0 release notes 文档。更新 Issue / PR 模板和部分 workflow 文案统一 MAX API 项目信息。兼容性说明RankingsModule已成为排行榜显示控制的新配置源旧的HeaderNavModules.rankings仍作为兼容回退。TRUSTED_PROXIES未配置时默认信任本机与私网地址段公网直连部署可按需收紧。SESSION_COOKIE_SECURE默认仍为falseHTTPS 部署建议显式设置为true。日志审计内容属于敏感信息开启后用户可在其有权限访问的日志详情中看到相应请求/响应内容。验证go test ./common ./service相关前后端设置项与翻译已同步更新Full Changelog: https://github.com/MAX-API-Next/MAX-API/compare/v1.0.1…v1.0.2