fifth-domain/zero-point/core-channel/gatekeeper/AUTHORIZATION-BOUNDARY-MAP.md

51 lines
2.1 KiB
Markdown
Raw Normal View History

# GLSV / Gatekeeper 3.2 授权边界与路径映射
更新时间2026-07-15
## 修正结论
邮箱验证码只证明“本次已登记人格体、服务器和范围获得一次人工确认”。它不再解锁客户端提交的任意 shell 命令。Gatekeeper 只接受 `authorized-actions.js` 中登记的动作;未登记动作直接拒绝。
## 判断依据(可复核摘要)
| 判断 | 依据文件 | 修正结果 |
|---|---|---|
| 人格体先发起会话,人类只提供验证码 | `zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp` | 保留 |
| 验证码不能等于任意命令执行权 | `zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp` | 由代码强制 |
| 普通 push 不应直接部署 | `BROADCAST-TOWER.hdlp``server-tools/fifth-domain-sync-agent/MODULE.hdlp` | 同步 Agent 只做快进同步和回执 |
| 部署动作必须另有固定动作白名单 | `server-tools/deployment-receiver/config.example.json` | Gatekeeper 不越权代替部署接收器 |
## 当前路径
```text
BROADCAST-TOWER
→ GLSV / Gatekeeper v3.2
→ session/request人格体 + 最小 scope + 已登记 action
→ 固定登记邮箱验证码
→ session/confirm
→ session/exec仍只能执行同一个 action
→ 只读结果与回执
第五域 main push
→ Forgejo 签名 webhook /forgejo/sync
→ fifth-domain-sync-agent
→ 仓库、分支、SHA、导航守卫核验
→ 快进同步 + 服务器本地回执
需要部署、重启、迁移
→ deployment/requests/*.json
→ deployment-receiver 固定动作白名单
→ 另行授权,不由普通 push 或 Gatekeeper 任意执行
```
## 已登记动作
- `inspect-gatekeeper`:只读检查 Gatekeeper。
- `sync-status`:只读检查第五域受控工作副本状态。
部署、重启、迁移目前没有登记为 Gatekeeper 动作,因此会被拒绝。这是有意的安全边界,不是功能缺失。
## 端口规则
Gatekeeper 兼容实现默认使用 3911服务器实际端口仍以受控健康检查回执为准。3982 属于第五域同步 Agent3981 属于部署接收器,三者不能互相替代。