小湖灯邮件链接授权服务
这是 Gatekeeper v3.2 前面的人类批准层。人格体只能用无执行权限的
request credential 提交工单;冰朔点击邮件链接后,人格体才能一次性领取
一个绑定到 persona + target server + scope + action 的一小时会话令牌。邮件工单
链接同样保留一小时,避免要求冰朔立即处理。
安全边界:
- 邮箱、QQ 数字、SMTP 授权码和 request credential 只存在于私密文件;
- 浏览器批准链接为一次性随机令牌,服务端仅持久化摘要;
- claim token 与 session token 均仅向申请人格体返回一次,磁盘只保存摘要;
- 换目标服务器时旧 session 必然返回
target_mismatch; - 本服务不接受任意 shell 命令,只签发登记动作的会话;
- 广州公开代理只应暴露
/approve/、/api/workorders与 claim 路由,服务本体监听 JD 回环地址。
request-workorder.js 从临时环境变量读取 QQ 数字,在内存中补全邮箱并只发送
SHA-256 指纹;数字本身不会写入请求正文、状态文件或代码仓库。