连接到网关(秘密代理)

网关(秘密代理)是一种集中式保管秘密管理服务,可以更轻松地与 SxT 平台的安全组件进行交互。它位于平台之外,并且不是去中心化的,这意味着它可以存储密码、私钥和配置的用户权限等内容。网关(秘密代理)旨在充当代理,代表您将您的请求转发到去中心化网络。请在此处查看 API 规范。

您可以使用以下接口连接到网关(Secrets Proxy):

什么是秘密管理?

一般来说,秘密管理是存储和管理安全数据的过程,例如身份验证凭证(例如密码、密钥、令牌)或授权配置(例如访问控制列表、安全策略)。秘密管理是网络安全领域众所周知的最佳实践,可确保通过经过身份验证和授权的身份安全访问受保护的 IT 资源。

它如何实现更便捷的开发体验?

在 Space and Time 平台内部,身份验证和授权在设计上是分散的。密码或访问控制列表等秘密无法存储在不信任的环境中。此外,用户验证自身身份和授权访问资源请求的协议不能依赖于任何中心化方。相反,每个用户必须实现自己的签名生成和饼干管理解决方案,并确保该协议符合平台的期望。一些用户更愿意依赖可信的、集中的第三方来处理与平台交互所需的秘密。为此,我们建立了网关。

它有什么作用?

网关的一项核心功能是支持传统的 Web2 式身份验证(即用户名和密码)。用户可以使用用户名和密码注册/登录,并让网关代表他们处理核心 SxT 网络的实际身份验证。在幕后,网关将使用(或在注册期间生成)ED25519 密钥对并将其与您的用户关联。假设您可以使用密码进行身份验证,网关将请求您的用户进行质询,使用您的私钥计算签名,并从网络请求访问令牌。通过这种方式,Studio、JDBC 驱动程序甚至 REST 客户端的用户都可以通过一个 API 请求联系网关,并继续进行平台交互,就像他们已经完成了与平台的完整身份验证工作流程一样。

网关的另一个功能是饼干密钥和权限管理,以支持平台授权工作流程。使用网关,用户可以配置网关如何管理私钥的安全策略。创建新资源时,用户向代理发出简单的请求,代理将提供授权创建请求所需的有效饼干和公钥。使用代理创建资源后,用户可以为其他用户配置这些资源的权限。网关使用这些权限为用户动态生成饼干。最后,用户甚至可以将自己的饼干上传到网关,然后检索它们以供使用。