Add comprehensive CORS fix guide

2025-12-04 00:07:38 +08:00
parent bf475d16c1
commit c7b229dc93
1 changed files with 366 additions and 0 deletions
--- a/CORS_FIX_GUIDE.md
+++ b/CORS_FIX_GUIDE.md
@@ -0,0 +1,366 @@
 # CORS 錯誤解決方案
 ## 🔴 您遇到的錯誤
 ### 錯誤訊息 1: CORS Policy
 ```
 Access to fetch at 'https://api.anthropic.com/v1/messages' from origin 'http://127.0.0.1:5000'
 has been blocked by CORS policy: Response to preflight request doesn't pass access control check:
 No 'Access-Control-Allow-Origin' header is present on the requested resource.
 ```
 ### 錯誤訊息 2: Storage Access
 ```
 Uncaught (in promise) Error: Access to storage is not allowed from this context.
 ```
 ### 錯誤訊息 3: Failed to Fetch
 ```
 POST https://api.anthropic.com/v1/messages net::ERR_FAILED
 TypeError: Failed to fetch
 ```
 ## 🤔 為什麼會發生這些錯誤？
 ### 1. **CORS（跨來源資源共用）限制**
 - 瀏覽器的安全機制，防止網頁向不同來源的伺服器發送請求
 - Anthropic API 不允許直接從瀏覽器呼叫（沒有設定 CORS 標頭）
 - 這是為了保護 API 金鑰不被暴露
 ### 2. **API 金鑰安全問題**
 ```javascript
 // ❌ 危險！前端直接呼叫會暴露 API 金鑰
 const apiKey = 'sk-ant-xxxxx'; // 所有人都能看到
 fetch('https://api.anthropic.com/v1/messages', {
  headers: { 'x-api-key': apiKey }
 });
 ```
 ### 3. **Storage 限制**
 - 使用 `file://` 協定開啟的 HTML 檔案無法使用 localStorage
 - 必須透過 HTTP 伺服器運行
 ## ✅ 正確的解決方案
 ### 架構圖
 ```
 ┌─────────────┐         ┌─────────────┐         ┌─────────────┐
 │             │         │             │         │             │
 │   前端      │ ─────▶  │   後端      │ ─────▶  │  Claude API │
 │  (瀏覽器)   │  HTTP   │  (Express)  │  HTTPS  │  (Anthropic)│
 │             │         │             │         │             │
 └─────────────┘         └─────────────┘         └─────────────┘
                         ↑
                         │ API 金鑰
                         │ 安全儲存
 ```
 ### 步驟 1: 安裝依賴
 ```bash
 npm install
 ```
 這會安裝：
 - `express` - Web 伺服器框架
 - `cors` - CORS 中介層
 - `axios` - HTTP 客戶端
 - `dotenv` - 環境變數管理
 - 其他依賴...
 ### 步驟 2: 設定環境變數
 編輯 [.env](.env) 檔案，加入您的 Claude API 金鑰：
 ```env
 # Claude API
 CLAUDE_API_KEY=sk-ant-api03-xxxxxxxxxxxxx
 CLAUDE_API_URL=https://api.anthropic.com/v1
 CLAUDE_MODEL=claude-3-5-sonnet-20241022
 ```
 ⚠️ **重要**：`.env` 檔案已被 `.gitignore` 排除，不會被提交到 Git
 ### 步驟 3: 啟動後端伺服器
 ```bash
 # 開發模式（自動重啟）
 npm run dev
 # 或生產模式
 npm start
 ```
 您應該會看到：
 ```
 ==================================================
 🚀 HR Performance System API Server
 ==================================================
 📡 Server running on: http://localhost:3000
 🌍 Environment: development
 📅 Started at: 2025-12-03 ...
 ==================================================
 📚 Available endpoints:
   GET  /               - API information
   GET  /health         - Health check
   POST /api/llm/test/* - Test LLM connections
   POST /api/llm/generate - Generate content with LLM
 ✨ Server is ready to accept connections!
 ```
 ### 步驟 4: 測試 API
 開啟瀏覽器訪問：
 ```
 http://localhost:3000/api-proxy-example.html
 ```
 或使用 curl 測試：
 ```bash
 # 測試 Claude 連線
 curl -X POST http://localhost:3000/api/llm/test/claude
 # 生成內容
 curl -X POST http://localhost:3000/api/llm/generate \
  -H "Content-Type: application/json" \
  -d '{
    "prompt": "介紹 HR 績效評核系統",
    "provider": "claude",
    "options": {
      "temperature": 0.7,
      "maxTokens": 200
    }
  }'
 ```
 ## 📝 前端程式碼範例
 ### ❌ 錯誤的做法（直接呼叫）
 ```javascript
 // 不要這樣做！會被 CORS 阻擋
 async function callClaudeAPI() {
  const response = await fetch('https://api.anthropic.com/v1/messages', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json',
      'x-api-key': 'sk-ant-xxxxx', // ❌ API 金鑰暴露！
      'anthropic-version': '2023-06-01'
    },
    body: JSON.stringify({
      model: 'claude-3-5-sonnet-20241022',
      messages: [{ role: 'user', content: 'Hello' }]
    })
  });
 }
 ```
 ### ✅ 正確的做法（透過後端代理）
 ```javascript
 // 透過後端 API 呼叫
 async function generateContent(prompt) {
  try {
    const response = await fetch('http://localhost:3000/api/llm/generate', {
      method: 'POST',
      headers: {
        'Content-Type': 'application/json'
      },
      body: JSON.stringify({
        prompt: prompt,
        provider: 'claude',
        options: {
          temperature: 0.7,
          maxTokens: 2000
        }
      })
    });
    if (!response.ok) {
      throw new Error(`HTTP error! status: ${response.status}`);
    }
    const result = await response.json();
    if (result.success) {
      console.log('生成的內容:', result.content);
      return result.content;
    } else {
      throw new Error(result.error?.message || '生成失敗');
    }
  } catch (error) {
    console.error('錯誤:', error);
    // 顯示錯誤訊息給使用者
    showErrorModal({
      title: 'API 錯誤',
      message: error.message
    });
  }
 }
 // 使用範例
 generateContent('請介紹 HR 績效評核系統的四卡循環');
 ```
 ## 🎯 API 端點說明
 ### 測試連線
 ```javascript
 // 測試 Claude API
 POST http://localhost:3000/api/llm/test/claude
 // 測試所有 LLM
 POST http://localhost:3000/api/llm/test/all
 // 回應格式
 {
  "success": true,
  "message": "Claude API connection successful",
  "provider": "claude",
  "model": "claude-3-5-sonnet-20241022"
 }
 ```
 ### 生成內容
 ```javascript
 POST http://localhost:3000/api/llm/generate
 Content-Type: application/json
 {
  "prompt": "你的提示內容",
  "provider": "claude",  // 可選: claude, gemini, deepseek, openai
  "options": {
    "temperature": 0.7,  // 可選: 0.0-1.0
    "maxTokens": 2000    // 可選: 最大生成長度
  }
 }
 // 回應格式
 {
  "success": true,
  "content": "生成的內容...",
  "provider": "claude"
 }
 ```
 ### Help Me AI（智能填寫）
 ```javascript
 POST http://localhost:3000/api/llm/help-me-fill
 Content-Type: application/json
 {
  "cardType": "performance",
  "cardId": "PF-2024-001",
  "filledFields": {
    "kra1_title": "產品上市時程",
    "kra1_weight": 40
  },
  "emptyFields": [
    "kra1_output",
    "kra1_self_note"
  ],
  "context": {
    "roleCard": {...},
    "competencyCard": {...}
  }
 }
 // 回應格式
 {
  "success": true,
  "filledCount": 2,
  "suggestions": {
    "kra1_output": "Q1 完成 MVP 開發...",
    "kra1_self_note": "超額達成目標..."
  }
 }
 ```
 ## 🔒 安全性考量
 ### 1. API 金鑰保護
 - ✅ 儲存在 `.env` 檔案
 - ✅ 不提交到 Git（已在 `.gitignore` 中）
 - ✅ 只在後端使用
 - ❌ 絕不在前端程式碼中暴露
 ### 2. CORS 設定
 ```javascript
 // server.js 中的 CORS 設定
 app.use(cors({
  origin: process.env.FRONTEND_URL || '*',  // 生產環境應限制來源
  methods: ['GET', 'POST', 'PUT', 'DELETE'],
  allowedHeaders: ['Content-Type', 'Authorization'],
  credentials: true
 }));
 ```
 ### 3. 錯誤處理
 - 統一的錯誤格式
 - 不洩露敏感資訊
 - 記錄錯誤日誌
 ## 🐛 常見問題
 ### Q1: 為什麼還是顯示 CORS 錯誤？
 **A:** 確認以下事項：
 1. 後端伺服器是否正在運行？（`npm run dev`）
 2. 前端是否呼叫正確的 API 地址？（`http://localhost:3000`）
 3. 瀏覽器是否快取了舊的錯誤？（清除快取或使用無痕模式）
 ### Q2: API 回傳 "Claude API key not configured"
 **A:** 檢查：
 1. `.env` 檔案中是否設定了 `CLAUDE_API_KEY`
 2. 環境變數的值是否正確
 3. 重新啟動伺服器以載入新的環境變數
 ### Q3: 連線超時
 **A:** 可能原因：
 1. 網路連線問題
 2. API 金鑰無效
 3. Anthropic 服務暫時無法使用
 4. 超時設定太短（預設 30 秒）
 ### Q4: 如何在生產環境部署？
 **A:** 部署步驟：
 1. 設定環境變數（不要使用 `.env` 檔案）
 2. 限制 CORS 來源為您的網域
 3. 使用 HTTPS
 4. 設定適當的速率限制
 5. 記錄和監控 API 使用情況
 ## 📚 相關檔案
 - [server.js](server.js) - Express 伺服器
 - [routes/llm.routes.js](routes/llm.routes.js) - API 路由
 - [services/llm.service.js](services/llm.service.js) - LLM 服務
 - [config/llm.config.js](config/llm.config.js) - LLM 配置
 - [utils/errorHandler.js](utils/errorHandler.js) - 錯誤處理
 - [public/api-proxy-example.html](public/api-proxy-example.html) - 範例頁面
 ## 🎉 完成！
 現在您可以安全地透過後端 API 呼叫 Claude 和其他 LLM 服務，不再有 CORS 錯誤！
 如有任何問題，請參考：
 - [README.md](README.md) - 專案說明
 - [database/README.md](database/README.md) - 資料庫文件
 - [docs/GITEA_SETUP.md](docs/GITEA_SETUP.md) - Git 設定
 ---
 **最後更新**: 2025-12-03
 **問題回報**: https://gitea.theaken.com/donald/hr-performance-system/issues