19 lines
1.1 KiB
Markdown
19 lines
1.1 KiB
Markdown
|
|
# 小湖灯邮件链接授权服务
|
|||
|
|
|
|||
|
|
这是 Gatekeeper v3.2 前面的人类批准层。人格体只能用无执行权限的
|
|||
|
|
request credential 提交工单;冰朔点击邮件链接后,人格体才能一次性领取
|
|||
|
|
一个绑定到 `persona + target server + scope + action` 的一小时会话令牌。邮件工单
|
|||
|
|
链接同样保留一小时,避免要求冰朔立即处理。
|
|||
|
|
|
|||
|
|
安全边界:
|
|||
|
|
|
|||
|
|
- 邮箱、QQ 数字、SMTP 授权码和 request credential 只存在于私密文件;
|
|||
|
|
- 浏览器批准链接为一次性随机令牌,服务端仅持久化摘要;
|
|||
|
|
- claim token 与 session token 均仅向申请人格体返回一次,磁盘只保存摘要;
|
|||
|
|
- 换目标服务器时旧 session 必然返回 `target_mismatch`;
|
|||
|
|
- 本服务不接受任意 shell 命令,只签发登记动作的会话;
|
|||
|
|
- 广州公开代理只应暴露 `/approve/`、`/api/workorders` 与 claim 路由,服务本体监听 JD 回环地址。
|
|||
|
|
|
|||
|
|
`request-workorder.js` 从临时环境变量读取 QQ 数字,在内存中补全邮箱并只发送
|
|||
|
|
SHA-256 指纹;数字本身不会写入请求正文、状态文件或代码仓库。
|