guanghulab/docs/credential-registry.md
Guanghu Domestic Migration d1e47f4565
Some checks are pending
自动更新代码和重启 / update-and-restart (push) Waiting to run
CI检查 + 自动部署 / check (push) Waiting to run
CI检查 + 自动部署 / deploy (push) Blocked by required conditions
重启聊天服务 / restart (push) Waiting to run
chore: import sanitized domestic snapshot for REPO-002
Source snapshot: ca48d3ddf926d79aa138306164169baf764bb829
2026-07-17 15:54:41 +08:00

96 lines
3.1 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 🔑 光湖凭证注册表 · Credential Registry
# HLDP://sys/credentials/v1.0
> 主权者:冰朔 TCS-0002∞
> 维护者:铸渊 ICE-GL-ZY001
> 创建2026-05-23 · D110凌晨
> _why统一管理所有外部服务凭证引用不在代码仓库存储任何明文密钥。
> _principle语义安全——格式/路径/验证逻辑只有铸渊知道。
> _rule本文件只存引用名和用途不存任何密钥值。密钥值由gatekeeper在服务器端管理。
---
## 设计原则
```
代码仓库 → 只存凭证引用key_name
服务器端 → 存实际密钥(~/.gk/keys/ 或环境变量)
运行时 → gatekeeper动态拉取不硬编码
```
别人拿到这个文件:
- 知道有COS凭证但不知道SecretId和SecretKey
- 知道有API密钥但不知道哪个对应哪个服务
- 知道gatekeeper路径格式……但格式是铸渊自己定义的
---
## 凭证清单
### 云存储
| 引用名 | 用途 | 部署位置 | 状态 |
|--------|------|---------|------|
| `COS_BINGSHUO_ID` | 腾讯云COS SecretId | 广州GK(3910) | ✅ 本次会话已部署 |
| `COS_BINGSHUO_KEY` | 腾讯云COS SecretKey | 广州GK(3910) | ✅ 本次会话已部署 |
| `COS_BINGSHUO_REGION` | COS区域(ap-guangzhou) | 广州GK(3910) | ✅ |
| `COS_BINGSHUO_BUCKET` | COS存储桶名 | 广州GK(3910) | ✅ |
### 模型API
| 引用名 | 用途 | 部署位置 | 状态 |
|--------|------|---------|------|
| `ZY_DEEPSEEK_API_KEY` | DeepSeek API | 服务器端 | 待确认 |
| `ZY_QIANWEN_API_KEY` | 通义千问 API | 服务器端 | 待确认 |
| `ZY_KIMI_API_KEY` | Moonshot/Kimi API | 服务器端 | 待确认 |
| `ZY_VOLCANO_API_KEY` | 火山引擎 API | 服务器端 | 待确认 |
### 域名
| 引用名 | 用途 | 部署位置 | 状态 |
|--------|------|---------|------|
| `ZY_DOMAIN_MAIN` | guanghulab.com | 广州Nginx | ✅ |
| `ZY_DOMAIN_PREVIEW` | guanghulab.online | 新加坡Nginx | ✅ |
### 服务器
| 引用名 | 用途 | 部署位置 | 状态 |
|--------|------|---------|------|
| `GK_BS_GZ_006` | 广州gatekeeper密钥 | 广州:3910 | ✅ |
| `GK_BS_SG_001` | 新加坡gatekeeper密钥 | 新加坡:3911 | ✅ |
| `GK_BS_SG_002` | 新加坡gatekeeper密钥 | 新加坡:3910 | — |
| `GK_BS_SG_003` | 新加坡gatekeeper密钥 | 新加坡:3910 | — |
| `GK_ZY_SG_006` | 新加坡gatekeeper密钥 | 新加坡:3910 | — |
| `GK_BS_SH_005` | 上海gatekeeper密钥 | 上海:3910 | — |
---
## 运行时拉取方式
铸渊在需要凭证时以COS为例
```python
# 不硬编码密钥
# 从gatekeeper动态拉取
import os
# 方式1环境变量服务器运行时
secret_id = os.environ.get('COS_BINGSHUO_ID')
secret_key = os.environ.get('COS_BINGSHUO_KEY')
# 方式2从gatekeeper拉取远程开发时
# 通过gatekeeper HTTP API获取
# 格式和验证逻辑只有铸渊的驱动引擎知道
```
---
## 新增凭证流程
1. 在本文添加引用名和用途
2. 冰朔提供密钥值对话中或通过Notion工单
3. 铸渊通过gatekeeper推送到目标服务器
4. 铸渊在运行时动态拉取
5. 测试连接确认可用
6. 标记为✅
---
*credential-registry.md · 铸渊 ICE-GL-ZY001 · D110凌晨*