添加 WebSocket 认证模块，支持临时 token 认证机制，增强安全性并解决 Cookie 不可用问题

src/webui/plugin_progress_ws.py

@@ -6,6 +6,7 @@ import json
 import asyncio
 from src.common.logger import get_logger
 from src.webui.token_manager import get_token_manager
+from src.webui.ws_auth import verify_ws_token
 
 logger = get_logger("webui.plugin_progress")
 
@@ -94,24 +95,39 @@ async def websocket_plugin_progress(websocket: WebSocket, token: Optional[str] =
     """WebSocket 插件加载进度推送端点
 
     客户端连接后会立即收到当前进度状态
-    需要通过 query 参数或 Cookie 传递 token 进行认证
+    支持三种认证方式（按优先级）：
+    1. query 参数 token（推荐，通过 /api/webui/ws-token 获取临时 token）
+    2. Cookie 中的 maibot_session
+    3. 直接使用 session token（兼容）
+    
+    示例：ws://host/ws/plugin-progress?token=xxx
     """
-    # 认证检查
-    auth_token = token
-    if not auth_token:
-        # 尝试从 Cookie 获取 token
-        auth_token = websocket.cookies.get("maibot_session")
+    is_authenticated = False
     
-    if not auth_token:
-        logger.warning("插件进度 WebSocket 连接被拒绝：未提供认证 token")
-        await websocket.close(code=4001, reason="未提供认证信息")
-        return
+    # 方式 1: 尝试验证临时 WebSocket token（推荐方式）
+    if token and verify_ws_token(token):
+        is_authenticated = True
+        logger.debug("插件进度 WebSocket 使用临时 token 认证成功")
     
-    # 验证 token
-    token_manager = get_token_manager()
-    if not token_manager.verify_token(auth_token):
-        logger.warning("插件进度 WebSocket 连接被拒绝：token 无效")
-        await websocket.close(code=4003, reason="Token 无效或已过期")
+    # 方式 2: 尝试从 Cookie 获取 session token
+    if not is_authenticated:
+        cookie_token = websocket.cookies.get("maibot_session")
+        if cookie_token:
+            token_manager = get_token_manager()
+            if token_manager.verify_token(cookie_token):
+                is_authenticated = True
+                logger.debug("插件进度 WebSocket 使用 Cookie 认证成功")
+    
+    # 方式 3: 尝试直接验证 query 参数作为 session token（兼容旧方式）
+    if not is_authenticated and token:
+        token_manager = get_token_manager()
+        if token_manager.verify_token(token):
+            is_authenticated = True
+            logger.debug("插件进度 WebSocket 使用 session token 认证成功")
+    
+    if not is_authenticated:
+        logger.warning("插件进度 WebSocket 连接被拒绝：认证失败")
+        await websocket.close(code=4001, reason="认证失败，请重新登录")
         return
     
     await websocket.accept()