Plan2meal

🍳 安全托管你的食谱与购物清单

lifestyle榜 #7

通过 Telegram 管理 Plan2Meal 食谱与购物清单,支持 URL 自动抓取食谱,采用后端隔离认证确保安全。

收藏
16.4k
安装
4.2k
版本
1.2.0
CLS 安全性认证2026-07-01
点击查看完整报告 >

使用说明

核心用法

Plan2Meal Skill 是一个 Telegram 机器人技能,用于连接 Plan2Meal React Native 应用的 API,实现食谱管理和购物清单功能。用户通过命令行方式与后端交互,支持从 URL 自动提取食谱元数据、搜索/查看/删除个人食谱库,以及创建和管理多个购物清单。

主要命令体系:

  • 食谱管理:add <url> 自动抓取网页食谱,list/search/show/delete 管理已有食谱
  • 购物清单:lists/list-show/list-create/list-add 完整 CRUD 操作
  • 食谱添加时会显示来源网站、解析方式、时间估算、食材清单和步骤

认证机制: 采用创新的后端隔离架构——技能本身不存储任何密钥,用户通过链接跳转至 Plan2Meal Web 应用完成 GitHub OAuth 登录,获取一次性会话令牌后返回 Telegram 使用。所有敏感凭证(GitHub Client Secret、Convex API 密钥)均保存在用户自托管的后端环境中。

显著优点

1. 安全架构先进:公开技能代码零密钥设计,OAuth 凭证完全隔离于用户后端,避免传统 Telegram bot 常见的 TOKEN 泄露风险
2. 食谱自动解析:集成 Firecrawl 等工具自动提取网页食谱结构,降低手动录入成本

3. 分层权限管理:免费 tier 限制 5 个食谱,适合轻量试用;架构支持后端灵活扩展

4. Telegram 原生体验:输出经过格式化美化,包含 emoji 分隔和清晰的信息层级

5. 自托管友好:用户完全掌控后端数据和认证流程,符合隐私敏感用户需求

潜在缺点与局限性

1. 部署门槛较高:需要用户自行部署 Plan2Meal 后端(含 Convex 数据库配置、GitHub OAuth 应用注册),非技术用户难以独立搭建
2. 认证流程繁琐:每次新设备或令牌过期都需跳转 Web → OAuth → 复制令牌 → 返回 Telegram,体验不如直接密码登录流畅

3. 免费额度严苛:5 食谱限制对活跃家庭用户可能很快触顶,且未明确说明付费升级路径

4. 依赖外部解析服务:食谱提取依赖 Firecrawl 等第三方,存在解析失败、额度消耗或响应延迟风险

5. 生态绑定:深度绑定 Convex 和 Plan2Meal 自有后端,无法灵活迁移至其他数据库方案

6. 功能边界模糊:作为「技能」形态,与原生 Plan2Meal App 的功能重叠度未明确,用户可能困惑该在何时使用哪个入口

适合人群

  • 已部署或愿意部署 Plan2Meal 自托管后端的技术型用户
  • 重视 OAuth 安全隔离、不信任第三方托管 Bot 凭证的隐私敏感者
  • 习惯 Telegram 工作流、希望在聊天界面快速记录食谱的效率工具使用者
  • 需要为家庭/小团队维护共享食谱库和购物清单的小型组织者

常规风险

  • 后端可用性风险:自托管后端若宕机,技能完全失效;无官方 SLA 保障
  • 令牌泄露风险:用户需手动复制会话令牌,存在被 Telegram 聊天记录意外暴露或被恶意客户端截获的可能
  • 依赖服务中断:GitHub OAuth 策略变更、Convex 服务调整或 Firecrawl API 变更均可能导致功能异常
  • 数据归属风险:食谱数据存储于用户 Convex 实例,但技能本身对数据格式有隐性约束,未来版本升级可能产生迁移成本

安全解读

核心用法

Plan2Meal Skill 是一款面向 Telegram 的食谱管理与购物清单工具,用户可通过简洁的命令与 Plan2Meal 后端交互。主要功能包括:

  • 食谱管理:支持从 URL 抓取食谱元数据(plan2meal add <url>)、搜索(plan2meal search)、查看详情(plan2meal show)及删除;
  • 购物清单:创建清单(plan2meal list-create)、将食谱加入清单(plan2meal list-add),实现从食谱到采购的无缝衔接;
  • 安全认证:采用 GitHub Device Flow,用户点击链接在浏览器完成 OAuth 后,将 session token 粘贴回 Telegram,全程无需在 Skill 中存储任何 OAuth 密钥。

显著优点

1. 零敏感信息暴露:Skill 本身无硬编码密钥,所有 OAuth 凭证(GitHub、Convex)仅存储于用户自托管的后端,符合“公开 Skill”安全最佳实践;
2. 极简依赖:生产环境零依赖,极大降低供应链攻击面;

3. 传输安全:所有 API 调用强制 HTTPS/TLS 1.3,符合 GDPR 数据最小化原则;

4. 输入验证完善:URL 格式校验、会话令牌验证、参数 sanitization 均到位;

5. 开源透明:MIT 协议,代码结构清晰,便于审计与二次开发。

潜在缺点与局限性

  • 自托管门槛:需用户自行部署 Plan2Meal 后端(Convex + 自定义域名),技术门槛较高;
  • 免费额度限制:后端免费 tier 仅支持 5 条食谱,重度用户需付费升级;
  • 无原生移动端:依赖 Telegram,离线场景或体验受限;
  • URL 抓取依赖第三方:食谱解析依赖 Firecrawl 等外部服务,解析质量与稳定性不可控。

适合人群

  • 已使用或愿意自托管 Plan2Meal 后端的个人用户;
  • 注重隐私、希望避免主流食谱平台数据收集的极客用户;
  • 熟悉 Telegram Bot 生态、偏好命令行交互效率的进阶用户。

常规风险

  • 自托管后端安全:Skill 本身安全,但后端安全性完全取决于用户配置,若后端 TLS 配置不当或 Convex 环境变量泄露,将导致数据泄露;
  • Token 粘贴暴露风险:用户需在 Telegram 聊天中粘贴 session token,虽为一次性操作,仍存在被聊天历史记录或键盘记录器截获的微小风险;
  • 供应链单点:后端依赖 Convex 与 Firecrawl,若服务中断将影响功能可用性。

Plan2meal 内容

dist文件夹
src文件夹
手动下载zip · 44.1 kB
commands.d.tstext/plain
请选择文件