密钥保险库 (Secret Vault)
Logto 的密钥保险库 (Secret Vault) 旨在安全存储敏感的用户数据——如访问令牌 (Access tokens)、API 密钥、验证码或任何其他需要保护的机密信息。这些密钥通常用于代表用户访问第三方服务,因此安全存储至关重要。
加密方案
为了保护敏感数据,密钥保险库 (Secret Vault) 采用了基于数据加密密钥 (DEK) 和密钥加密密钥 (KEK) 的强大加密方案。
- 每个密钥单独加密:每个密钥都使用其唯一的 DEK 进行加密,即使某个密钥被泄露,其他密钥依然安全。
- 密钥包裹:DEK 本身会被 KEK 加密(或“包裹”),KEK 由系统安全管理和存储。
- 分层安全:这种两层加密方式确保即使系统部分被攻破,攻击者也无法在没有 DEK 和 KEK 的情况下访问密钥。
- 最小化暴露:只有在绝对必要时才会解密密钥,从而降低意外暴露的风险,并符合处理敏感数据的最佳实践。
这种分层加密模型为用户最敏感的凭据和令牌 (Tokens) 提供了强有力的保护,同时在需要时仍能安全访问。
密钥类型
安全存储和管理由联合第三方身份提供商 (IdPs) 签发的访问令牌 (Access tokens) 和刷新令牌 (Refresh tokens),以便在下游 API 调用中使用。
信息:
目前,联合令牌集 (Federated token set) 是唯一开箱即用支持的密钥类型。不过,密钥保险库 (Secret Vault) 设计上可以适配任何类型的敏感信息。如果你需要支持其他类型的密钥,请联系我们——我们很乐意提供帮助。