# 物流 Webhook 接收器 & Push Server（推送后台）总览

面向读者：需要理解“物流事件如何入库、如何触发消息、如何推送到 App”的后端/运维/联调同学。

本文只做**总结性说明**；细节请跳转到对应子文档与源码。

---

## 1. 这两套后台分别解决什么问题？

### Webhook 接收器（webhook-receiver）
**一句话**：把第三方/承运方推过来的“物流轨迹事件”接进来，完成验签（可选）、留痕，并把事件写入 Supabase 的 `platform_express_*` 表。

它关注的是：
- Webhook 请求能否稳定接收（可公网暴露、可控验签）
- 原始 payload 是否可追溯（用于审计/排障）
- 轨迹事件是否能归一化写入（供业务查询、消息生成）
- 运单摘要状态是否能更新（用于页面“当前状态”展示）

### Push Server（push-server）
**一句话**：维护“账号 ↔ 设备 CID”的映射，并提供“消息入队 + 消费下发”能力，把通知可靠地投递到云函数（由云函数完成 uni-push2 真实下发）。

它关注的是：
- 设备 CID 的注册/解绑与存储（本地 JSON 回退 + Supabase 表）
- 生成推送任务（写入 `express_notifications`）
- 消费推送任务并调用 `CLOUD_FUNC_URL`（重试/回写状态）

---

## 1.1 用什么做的（技术栈/依赖）

这两套服务都是“轻量 Node.js HTTP 服务”，共同特点：
- **运行时**：Node.js（建议 18+；你当前环境是 Node.js 22 也可以）
- **HTTP 框架**：Express
- **JSON 解析**：body-parser
- **与 Supabase 通信**：直接调用 PostgREST REST API（`$SUPA_URL/rest/v1/...`），通过 `apikey`（可选 Bearer）鉴权
- **配置加载**：复用 `server/load-config.js`，支持 `.env` / `.json` / `CONFIG_FILE` 指定

差异点：
- webhook-receiver：额外用 `crypto` 做可选 HMAC 验签；主要写 `platform_express_*` 三表
- push-server：额外包含“消费者轮询 + 重试退避 + 调用云函数”的逻辑；本地 JSON 作为设备表回退（`server/data/push_devices.json`）

---

## 2. 整体链路（从物流事件到手机通知）

建议把链路理解为 3 段：

1) **事件入库段**（Webhook 接收器负责）
- 第三方回调 → webhook-receiver → 写入/更新：
  - `platform_express_event_raw`（原始留痕）
  - `platform_express_tracking_events`（归一化事件事实表）
  - `platform_express_waybills`（运单摘要 current_status_*）

2) **消息生成段**（通常是“事件处理器/任务/触发器”，不在这两个服务里）
- 监听/轮询 `platform_express_tracking_events` 的新增事件
- 按推送策略（关键状态、去噪、幂等）生成“消息中心记录/推送任务”
- 写入 `express_notifications`（或调用 push-server 的 HTTP 接口让其写入）

3) **推送下发段**（Push Server + 云函数负责）
- push-server consumer 读取 `express_notifications` 的待处理记录
- 找到目标设备（`push_devices` 中的活跃 CID）
- 对每个 CID POST 到 `CLOUD_FUNC_URL`
- 云函数内部调用 uni-push2 下发 → App 收到通知

一个简化示意图：

```mermaid
flowchart LR
  Third[第三方/承运方] -->|POST webhook| WH[webhook-receiver :7201]
  WH --> RAW[(platform_express_event_raw)]
  WH --> EV[(platform_express_tracking_events)]
  WH --> WB[(platform_express_waybills)]

  EV --> EP[事件处理器/任务/触发器]
  EP --> N[(express_notifications)]

  App[App 客户端] -->|注册CID| PS[push-server :7301]
  PS --> D[(push_devices)]

  PS -->|轮询待发通知| N
  PS -->|POST| CF[CLOUD_FUNC_URL 云函数]
  CF --> UP[uni-push2]
  UP --> App
```

参考（更完整的业务口径与隐私约束）：
- `pages/mall/delivery/doc/需求文档/物流消息推送方案_用户端与商家端.md`
- `pages/mall/delivery/doc/需求文档/推送与设备需求文档.md`

---

## 3. Webhook 接收器（webhook-receiver）

### 3.1 位置与入口
- 代码：`pages/mall/delivery/webhook-server/webhook-receiver.js`
- 说明文档：`pages/mall/delivery/webhook-server/README.md`

### 3.2 对外接口
- `POST /webhook/express/status`
  - 作用：接收轨迹变更回调
  - 返回：
    - 成功：`{ ok: true }`
    - 运单不存在（不算系统错误）：`{ ok: false, message: 'waybill not found' }`（HTTP 200）
    - Supabase 鉴权失败等：HTTP 502 + `{ ok:false, message:'...' }`
- `GET /health`：健康检查

### 3.3 写库行为（核心表）
接收器在一次 webhook 调用中做三件事（顺序上：先留痕，再归一化，再更新摘要）：

1) **原始留痕**：插入 `platform_express_event_raw`
- 保存：carrier、tracking_no、body（原始 payload）、received_at、signature_valid 等

2) **定位运单**：在 `platform_express_waybills` 中查找对应记录
- 优先按 `tracking_no`，其次按 `order_no`
- 找不到时返回 `{ ok:false, message:'waybill not found' }`

3) **写入事件 & 更新运单摘要**
- 将第三方的状态字段映射到平台统一的 `status_code`（如 `OUT_FOR_DELIVERY/DELIVERED/EXCEPTION/...`）
- `PATCH platform_express_waybills`：更新 `current_status_code/current_status_text/last_synced_at`
- `INSERT platform_express_tracking_events`：写入归一化事件事实数据（包含 raw_payload、dedupe_key 等）

> 注意：当前实现的 `dedupe_key` 使用 `WEBHOOK_ + Date.now()`，更偏向“留痕与追溯”；如需严格幂等（重复回调不重复入库），建议按文档口径构造稳定 dedupe_key（例如 `tracking_no|event_code|event_time`）。

### 3.4 验签（可选）
- 配置 `WEBHOOK_SECRET` 后会校验：
  - `X-Timestamp`、`X-Signature`
  - 签名算法：`HMAC-SHA256(secret, bodyText + timestamp)`，输出 hex
- 目前验签失败不会直接拒绝入库（会在 raw 表记录 `signature_valid=false`），可按需要升级为“验签失败直接 4xx”。

### 3.5 配置与启动方式
接收器会先通过 `server/load-config.js` 把配置注入 `process.env`，优先级是：
1) 系统环境变量
2) `CONFIG_FILE/CONFIG_PATH` 指定的文件
3) 接收器同目录的 `webhook.config.json`
4) `server/.env` → `server/config.json` → `server/config.json.example`

常用环境变量：
- `SUPA_URL`（必需）
- `SUPA_KEY`（必需，建议使用 service_role，仅后端使用）
- `PORT`（默认 7201）
- `SUPA_USE_BEARER`（默认 false）
- `WEBHOOK_SECRET`（可选）

---

## 4. Push Server（push-server）

### 4.1 位置与入口
- 代码：`server/push-server.js`
- 说明文档（偏“可运行/可运维”）：
  - `server/PUSH_SERVER_README.md`
  - `server/README.md`

### 4.2 核心能力
1) **设备 CID 管理**
- `POST /api/v1/push/register`：注册/更新设备（写本地 JSON，并尝试 upsert 到 `push_devices`）
- `POST /api/v1/push/unregister`：解绑/置 inactive
- `GET /api/v1/push/devices`：列出设备（优先 Supabase）

2) **推送下发（云函数模式）**
- `POST /api/v1/push/send`：
  - 直接按 `cids` 或 `user_id` 发送（对每个 CID 调用 `CLOUD_FUNC_URL`）

3) **通知入队 + 消费者轮询下发**
- `POST /api/v1/notifications`：写入 `express_notifications`（排队）
- consumer（可选启用）：
  - 定时轮询 `express_notifications` 的待处理记录
  - 取到记录后查询目标 CID 列表
  - 逐个调用 `CLOUD_FUNC_URL`，并回写状态/错误/重试次数

> 备注：本仓库当前为“仅云函数模式”，push-server 自身不直接对接 uni-push；真实推送逻辑在云函数里。

### 4.3 数据依赖（Supabase 表）
- `public.push_devices`
  - 存储 `cid ↔ user_id/merchant_id`、`is_active` 等
- `public.express_notifications`
  - 存储待发通知、状态、重试信息等（用于消息中心/推送队列）

迁移脚本参考：`pages/mall/delivery/doc/需求文档/20260224_add_push_devices_and_notifications.sql`

### 4.4 关键配置（env）
- `PORT`：默认 7301
- `SUPA_URL`、`SUPA_KEY`/`SERVICE_ROLE_KEY`
- `SUPA_USE_BEARER`：同 webhook-receiver，默认只发 `apikey`

消费者相关：
- `ENABLE_CONSUMER=true`（或 `CONSUMER_ENABLED=true`）
- `CONSUMER_POLL_MS`：轮询间隔（默认 2000）
- `CLOUD_FUNC_URL`：云函数 HTTP invoke 地址（必需）
- `PUSH_TOKEN`：可选鉴权透传给云函数
- 重试配置：`MAX_RETRIES / RETRY_INITIAL_MS / RETRY_FACTOR / RETRY_MAX_MS`

### 4.5 常见问题（定位方向）
- Supabase 报 `PGRST301` / 401：通常是 Bearer/JWT_SECRET 不匹配导致，优先只用 `apikey`（`SUPA_USE_BEARER=false`）。
- `/api/v1/push/send` 返回 `push_clientid required`：云函数侧没有正确解析请求体（常见于 HTTP 触发器把 body 放在 `event.body`）。
- 中文变 `????`：Windows PowerShell 5.1 发送 JSON 编码问题，按 `server/PUSH_SERVER_README.md` 的 UTF-8 字节方式发送。
- 消费者不工作：检查 `ENABLE_CONSUMER`、`CLOUD_FUNC_URL` 是否配置；再查 `express_notifications` 是否有待处理记录。

---

## 5. 给联调/运维的“最小心智模型”

- Webhook-receiver 只负责：**接收** & **入库**（`platform_express_*`）。
- Push-server 只负责：**设备表** & **通知队列** & **调用云函数**（`push_devices/express_notifications`）。
- 中间那段“什么时候该推、推给谁、推什么文案/脱敏后字段”通常在**事件处理器/业务服务**里实现（或数据库触发器 + 消费者）。

把这三段拆开，排障会非常快：
1) webhook 是否收到？（看 webhook-receiver 日志 / raw 表）
2) tracking_events 是否写入？（看事件表）
3) notifications 是否生成？（看 express_notifications）
4) push-server 是否消费？（看 push-server 日志 / 重试字段）
5) 云函数是否下发成功？（看云函数日志 / uni-push 返回）

---

## 5.1 一页摘要

### 业务价值（为什么要做）
- **提升履约感知**：物流关键节点及时触达（用户端/商家端），减少客服咨询与退款/纠纷风险。
- **可追溯**：Webhook 原始留痕 + 事件事实表 + 消息队列表，出了问题能定位“卡在哪一段”。
- **解耦与可演进**：Webhook 入库、消息生成、推送下发三段解耦，后续可替换推送通道/触发方式而不重写全链路。

### 范围边界（做了什么 / 没做什么）
- **已覆盖**：第三方物流事件接收入库；设备 CID 注册与管理；通知入队与消费；调用云函数（由云函数实际对接 uni-push2）。
- **不在本两服务内**：消息生成策略（哪些事件要推、文案/脱敏、收件人映射、幂等 dedupe_key 规则）通常由“事件处理器/业务服务/任务”负责。

### 外部依赖（上线前必须明确）
- **Supabase/Postgres**：两服务都依赖 REST 读写（需要稳定网络、正确的 key 权限、相关表已迁移）。
- **云函数**：push-server 依赖 `CLOUD_FUNC_URL` 可用；云函数内部需能成功调用 uni-push2。
- **第三方/承运方**：Webhook 接入参数、验签口径、回调重试策略需要对齐。

### 风险与控制点
- **密钥风险**：`service_role key` 属高权限，必须只在服务器环境变量中使用；严禁进入前端/日志/截图。
- **隐私合规**：raw 表与 payload 可能含敏感字段，必须限制读取权限；推送内容只允许“脱敏/清洗后的摘要”。
- **可靠性**：Webhook 可重复/乱序；需要稳定的幂等策略（事件 dedupe_key、消息 dedupe_key）避免重复消息与状态回退。
- **可用性**：push-server consumer 失败要可重试、可观测、可告警；云函数故障不应影响主业务写库。

### 运维成本（需要投入多少人/怎么管）
- **部署形态**：两个常驻 Node 进程（端口默认 webhook 7201、push 7301），建议用进程守护（Windows 服务 / pm2 / docker / supervisor 任选其一）。
- **日志与排障**：至少保留 7~30 天日志；能按 request_id/message_id/tracking_no 追踪。

### 建议监控指标（可用来验收与周报）
- Webhook：每分钟请求量、2xx 比例、验签失败率、写库失败率、waybill not found 比例。
- 推送：待处理队列长度（pending/retrying 数）、每分钟消费量、成功率、平均重试次数、失败 Top 原因（HTTP 非 2xx / 超时 / 云函数业务 errCode）。
- 端到端：从事件入库到推送送达的 P50/P95 延迟（分钟级即可）。

### 责任分工（出现问题找谁）
- webhook-receiver：对“第三方回调接入、验签、入库”负责。
- 事件处理器/业务服务：对“消息生成规则、脱敏文案、收件人映射、幂等策略”负责。
- push-server + 云函数：对“队列消费、重试、推送通道调用成功率”负责。

### 上线检查清单（最小版）
1) 表结构已迁移（`platform_express_*`、`push_devices`、`express_notifications`）。
2) 密钥仅在服务器环境变量，日志不打印敏感值。
3) webhook `/health` 正常；能写 raw 与 events；运单状态能更新。
4) push-server `/health` 正常；能注册设备；能入队；consumer 能调用云函数并回写状态。
5) 监控与告警已配置（至少：连续失败、队列堆积、云函数不可达）。

---

## 6. 进一步阅读（从“总览”到“可落地”）

- webhook-receiver：`pages/mall/delivery/webhook-server/README.md`
- push-server（运行与变更记录）：`server/PUSH_SERVER_README.md`
- push-server（消费者与云函数约定）：`server/README.md`
- 配置加载器：`server/load-config.js`
- 业务方案与隐私口径：
  - `pages/mall/delivery/doc/需求文档/物流消息推送方案_用户端与商家端.md`
  - `pages/mall/delivery/doc/需求文档/推送与设备需求文档.md`

---

## 7. 安全提醒（强烈建议）

- `SUPA_KEY/service_role key` 只允许在后端/服务器环境使用，**严禁下发到前端**。
- 如需把 push-server 的发送/入队接口对外开放，建议至少加一层鉴权（Bearer token、IP 白名单或内网访问）。
- `platform_express_event_raw.body/raw_payload` 可能包含敏感信息，生产上建议严格控制读取权限并记录审计。