隐私保护声明

你的活动，别人看不见

我们聚会吧Beta 采用「口令即权限」的设计理念。简单来说：

• 活动列表不公开 — 没有活动广场、没有推荐、没有搜索。任何人打开网站，只能看到自己参与过的活动。
• 没有口令进不来 — 每个活动都有一个由创建者设置的活动口令（比如"周末火锅666"）。不知道口令，就无法查看或加入活动。
• 管理口令是另一把钥匙 — 创建活动时会自动生成一个6位管理口令，只有组织者持有。管理口令用于控制活动阶段（开始投票、开放报名等）和管理操作（编辑方案、删除成员等），普通参与者看不到也用不了。

具体怎么保护的

• API 不暴露活动列表 — 后端接口不接受「列出所有活动」的请求。没有参数就返回错误，不会把任何活动数据交出去。
• 不能按用户查活动 — 即使知道某个人的用户ID，也无法通过接口查看他创建了哪些活动、参与了哪些活动。
• 不能猜ID进活动 — 活动详情接口不暴露管理口令，且只能通过已验证身份的请求访问。猜测活动的随机ID无法获取内容。
• 管理口令不回传 — 任何 API 查询都不会返回管理口令。它只存在于创建者本人的浏览器本地存储中，服务端不会把它发给其他人。

数据存在哪里

• 活动数据 — 存储在服务端数据库（Supabase PostgreSQL），只有通过口令验证的用户才能访问对应活动的数据。
• 你的身份信息 — 仅存储在你自己的浏览器本地（localStorage），包括：你的昵称、一个随机生成的用户ID、你持有的管理口令、你已加入的活动列表。这些信息不会上传到服务端做身份关联。
• 没有账号体系 — 本产品不要求注册、不收集手机号或邮箱、不使用 Cookie 追踪。换设备或清浏览器缓存会丢失本地身份，需要重新通过活动口令加入。

什么情况下别人能看到你的活动

• 你把活动口令告诉了别人（这是设计意图，口令就是邀请函）
• 你把管理口令告诉了别人（请不要这样做，除非你确实想把管理权交给对方）
• 别人看到了你分享的链接（分享时链接会包含活动口令，请注意分享范围）

口令安全建议

• 活动口令可以简单好记，方便分享给朋友（比如"周五见123"），不需要高强度
• 管理口令是系统随机生成的6位码，请妥善保存，不要随意转发
• 如果管理口令泄露，目前需要创建新活动来重新开始（后续版本会支持重置口令）

技术实现的隐私边界

坦率说明以下技术现实：

• 数据库未启用行级安全策略（RLS），所有数据通过服务端API层控制访问。这意味着如果API层存在漏洞，数据可能被访问。我们会持续审查API安全性。
• 本产品使用 Supabase 的 service_role_key 绕过 RLS，这是为了简化多人协作场景下的数据写入。服务端代码是唯一的数据访问入口。
• 活动口令和管理口令在数据库中存储，但 API 接口永远不会返回口令内容。只有创建活动时会在页面上显示一次，之后只存在于创建者浏览器的本地存储中。