feat: 在模型排行页面添加用户排行选项卡
一个轻量级的 PHP 统计面板,用于监控和可视化 NewAPI 平台的大模型 Token 消耗情况,支持按小时聚合的 Token 统计和模型排行榜。
- Token 消耗统计 — 按小时聚合展示输入/输出 Token 的堆叠柱状图
- 模型排行榜 — 按总 Token 消耗排名,展示调用次数、平均响应时间等
- 用户排行榜 — 按用户统计 Token 消耗排名,支持用户名脱敏
- 时间范围筛选 — 支持 1/3/7/14/30 天数据查询
- 文件缓存 — 基于文件系统的 JSON 缓存,减少数据库压力
- 响应式设计 — 适配桌面端和移动端,移动端自动切换为卡片布局
- API 接口 — 提供 JSON 格式的 API 端点,方便集成
- 环境变量配置 — 通过
.env文件控制功能开关
newapi-monitor/ ├── index.php # 主页面(统计面板) ├── api.php # JSON API 端点 ├── config.php # 数据库与缓存配置 ├── functions.php # 公共函数库 ├── .env # 环境变量配置 ├── .env.example # 环境变量模板 ├── cache/ # 缓存目录(自动创建) │ └── .htaccess # 禁止直接访问缓存文件 └── .htaccess # Apache 安全配置
- PHP 7.0+(需开启 mysqli 扩展)
- MySQL 5.7+ / MariaDB 10.2+
- Apache(需启用 mod_headers、mod_rewrite)或 Nginx
- 浏览器需支持 ES6
项目需连接 NewAPI 的数据库,依赖 newapi.logs 表,以下字段:
| 字段 | 说明 |
|---|---|
created_at | UNIX 时间戳 |
model_name | 模型名称 |
username | 用户名 |
prompt_tokens | 输入 Token 数 |
completion_tokens | 输出 Token 数 |
use_time | 响应时间(ms) |
-
克隆项目
git clone <your-repo-url> /var/www/newapi-monitor cd /var/www/newapi-monitor -
修改配置
编辑
config.php,填入你的数据库连接信息:$db_host = 'localhost'; $db_user = 'your_db_user'; $db_pass = 'your_db_password'; $db_name = 'newapi';复制
.env.example为.env,根据需要调整功能开关:cp .env.example .env -
设置权限
chmod 755 cache/ chown -R www-data:www-data . -
配置 Web 服务器
Apache:项目已包含
.htaccess,确保已启用AllowOverride All。Nginx:添加以下配置:
location /newapi-monitor { index index.php; try_files $uri $uri/ /index.php?$query_string; # 禁止访问 config.php location ~ /config\.php$ { return 403; } # 禁止访问缓存目录 location /newapi-monitor/cache/ { return 403; } # 禁止访问 .git / .env location ~ /\.(git|env) { return 403; } } -
访问面板
打开浏览器访问:
http://your-domain/newapi-monitor/
GET /api.php
| 参数 | 说明 | 默认值 |
|---|---|---|
type | 统计类型:token / model / user / summary | token |
days | 时间范围:1-30 天 | 7 |
nocache | 强制刷新缓存:1 | - |
# 获取最近7天的 Token 统计
curl "http://your-domain/api.php?type=token&days=7"
# 获取模型排行榜(最近3天)
curl "http://your-domain/api.php?type=model&days=3"
# 获取用户排行榜(最近7天)
curl "http://your-domain/api.php?type=user&days=7"
# 获取汇总统计(强制刷新)
curl "http://your-domain/api.php?type=summary&days=7&nocache=1"
{
"success": true,
"data": [...],
"from_cache": false,
"days": 7,
"generated_at": "2026-04-24 01:00:00"
}
config.php 中的可配置项:
| 配置项 | 说明 | 默认值 |
|---|---|---|
db.host | 数据库主机 | localhost |
db.user | 数据库用户 | newapi |
db.pass | 数据库密码 | newapi |
db.name | 数据库名称 | newapi |
cache.dir | 缓存目录 | ./cache |
cache.ttl | 缓存有效期(秒) | 1800(30分钟) |
| 配置项 | 说明 | 默认值 |
|---|---|---|
USER_RANKING_ENABLED | 是否显示用户排行榜 | true |
USER_RANKING_MASK | 是否对用户名脱敏(中间用 * 替代) | false |
脱敏规则:保留首尾字符,中间替换为
*。如张三→张*,zhangsan→z******n。
为确保查询性能,建议为 newapi.logs 表添加以下索引:
-- 核心索引:加速时间范围查询
ALTER TABLE newapi.logs ADD INDEX idx_created_at (created_at);
-- 复合索引:同时加速按时间+模型的聚合查询
ALTER TABLE newapi.logs ADD INDEX idx_created_model (created_at, model_name);
-- 用户排行索引:加速按用户聚合查询
ALTER TABLE newapi.logs ADD INDEX idx_created_username (created_at, username);
如果
logs表数据量超过百万级,建议额外创建按小时预聚合的汇总表,通过定时任务每小时更新,查询汇总表而非原始日志表,可大幅降低数据库负载。
| 项目 | 说明 |
|---|---|
| SQL 注入 | 所有 SQL 查询均使用预处理语句(prepare + bind_param),参数 $days 通过 sanitizeDays() 强制转为整数 |
| 问题 | 修复措施 |
|---|---|
| XSS($type 嵌入 JS) | 对 $type 增加白名单校验,JS 输出改用 json_encode() |
| 缓存目录可被直接访问 | 添加 cache/.htaccess 禁止访问 |
| config.php 可被直接访问 | 添加 .htaccess 规则拒绝访问 |
| 数据库连接未关闭 | token 查询后补充 $conn->close() |
| 缺少安全响应头 | 添加 X-Content-Type-Options、X-Frame-Options、Referrer-Policy |
| 优先级 | 建议 |
|---|---|
| 高 | 添加认证机制,防止未授权访问统计数据 |
| 中 | 为 CDN 资源(Chart.js)添加 SRI 完整性校验 |
| 中 | nocache 参数增加频率限制 |
| 中 | 将 config.php 移到 Web 根目录之外 |
| 低 | 收紧 CORS 策略,将 Access-Control-Allow-Origin: * 改为指定域名 |
| 低 | 添加 Content-Security-Policy 头 |
| 低 | 考虑使用环境变量替代硬编码的数据库凭据 |
- 后端:PHP + MySQL (mysqli)
- 前端:原生 HTML/CSS/JavaScript + Chart.js 4.4
- 缓存:文件系统 JSON 缓存
MIT
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
