软件商城系统产品系统Vibe Coding

本系统专为软件开发工作室（如独立开发者、SaaS创业团队、中小软件公司）提供一站式软件销售解决方案。典型应用场景如下：
1. 数字商品即时交付：用户购买软件后，系统自动生成并交付唯一授权码，无需人工干预，支持绑定域名/IP，防止授权码被滥用。
2. 多版本产品体系：同一软件可提供基础版、专业版、企业版等多个版本，每个版本支持独立定价、独立下载链接、独立授权策略，满足不同层次用户需求。
3. 实名合规销售：针对国内软件销售的合规要求（如实名制、软件使用协议留痕），系统内置实名认证模块，可以要求用户完成实名认证后方可购买指定产品，支持管理员审核认证信息。
4. 售后工单支持：用户购买后遇到安装激活问题，可通过工单系统提交问题，管理员在线回复，支持状态跟踪和优先级管理，提升客户满意度。
5. 多渠道收款：集成支付宝、微信、PayPal、银联及三方/四方易支付聚合通道，适配国内外用户支付习惯，订单自动对账，支持CSV导出与财务核对。
6. 独立授权验证服务：授权码验证服务独立部署（verify.example.com），软件客户端可通过API实时验证授权码有效性，适配支持离线验证模式，保障软件正版化。

该场景覆盖从“产品上架 → 用户注册实名 → 在线支付 → 自动发码 → 售后工单 → 授权验证”的全业务闭环，特别适合需要自主控制销售渠道、避免被应用商店抽成的软件开发团队。

系统提供以下核心功能模块：

1. 产品管理
多级分类管理，支持产品封面图、详情介绍、下载链接配置
多版本产品体系：同一产品可创建多个版本（如基础、专业版），每个版本独立定价、独立授权策略
全站产品搜索，支持按分类、关键词筛选

2. 用户系统
支持邮箱/手机号注册登录，密码加密存储
个人中心：资料修改、密码修改、订单查询、通知查看
实名认证：姓名+身份证号提交，自助完成人脸认证，可配置管理员审核，后台可开关实名购买限制

3. 订单与支付
下单→选择支付方式→支付→自动发码全流程自动化
集成支付宝、微信、PayPal、银联、易支付五种支付通道
后台订单管理：状态跟踪、批量导出、手动补发
超时未支付订单自动取消（计划任务）

4. 授权码管理
购买成功后自动生成唯一授权码，支持有效期、绑定域名/IP
管理员后台：批量生成/导出授权码、查询授权码使用情况、手动作废
独立验证服务：软件客户端通过API验证授权码，返回产品授权版本、有效期等信息

5. 工单系统
用户端：提交工单、查看回复、关闭工单
管理端：回复工单、修改状态、设置优先级
新回复站内通知/邮件/短信自动推送

6. 通知系统
站内通知：订单状态变更、工单回复、实名审核结果自动推送
已读/未读标记，支持批量已读

7. 邮件/短信
原生SMTP邮件发送，支持邮件模板管理
短信服务：集成多服务商，发送验证码及重要通知
验证码有效期控制，防暴力破解

8. 安全机制
登录状态三重认证，CSRF防护
频率限制：登录5次/分钟、注册3次/小时
操作日志：管理员所有操作记录审计

9. 人机验证
集成多种服务商，后台可切换，防止机器人注册和刷单

10. 计划任务
超时/过期订单自动取消，支持多模式触发

技术架构
后端：PHP≥8.0 + 原生MVC框架（自研Router/Model核心）
数据库：MySQL 5.6+，18张数据表，PDO预处理防注入
前端：HTML5+JavaScript+CSS3，响应式布局
缓存/限流：Redis 5.0+，用于高性能会话存储和滑动窗口限流

核心实现要点
统一入口与路由分发
index.php 作为唯一入口，区分 /api/*（API路由）和其他请求（页面路由）
Router支持正则匹配URL，如 /product-detail?id=123 自动映射
认证与中间件
AuthMiddleware：JWT HS256签名验证身份
RateLimitMiddleware：基于数据库滑动窗口的限流，支持Redis高性能模式
CsrfHelper：非GET请求自动校验Token，hash_equals()时序安全比较
授权码独立验证服务
独立部署在 verify.example.com，与主站分离
提供api接口，接收授权码+域名/IP，返回验证结果
支持管理版本与授权策略
支付集成
订单创建后生成唯一订单号，调用对应支付网关API
支付回调接口验证签名，更新订单状态并触发授权码生成
支持同步跳转和异步通知双通道
计划任务双模式
模式：CLI模式/Web模式
安装向导
访问首页自动检测 config/install.lock，不存在则跳转 /install
逐步骤检测PHP扩展、目录权限、数据库连接，引导用户完成配置
部署与伪静态权限检查
Nginx伪静态及目录权限检查
代码组织
33个API控制器+数据模型，遵循PSR-4命名
页面文件与控制器分离
70+API路由