BitzOrcas 实现了为 SaaS 多租户环境设计的综合安全模型。安全在多个层面执行——认证、授权、租户隔离和请求完整性。
安全层面
| 层 | 实现 | 状态 |
|---|---|---|
| 认证 | JWT / HMAC / API Key(3 方案) | ✅ 已实现 |
| 授权 | RBAC + ABAC + AppScope + ReBAC | ✅ 已实现 |
| CORS 和安全头 | ASP.NET Core CORS 配置 | ✅ 已实现 |
| 模拟 | 委托令牌(操作员模拟) | ✅ 已实现 |
| Webhook 签名 | HMAC-SHA256 请求签名 | ✅ 已实现 |
| 生产检查清单 | 部署安全检查清单 | ✅ 已记录 |
| 2FA/TOTP | TOTP 认证器 | 📋 计划中 |
| 数据保护 | 静态加密 | 📋 计划中 |
设计原则
- 快速失败:缺少密钥导致立即启动失败——无默认弱密钥
- 失败关闭:未配置的认证方案拒绝所有请求
- 无明文密钥:API 密钥以 SHA-256 哈希存储;JWT 密钥验证最小长度
- 租户隔离:所有数据查询默认按租户过滤
- 审计跟踪:所有安全相关操作被记录
威胁模型
BitzOrcas 的安全措施应对常见 SaaS 威胁:
| 威胁 | 缓解措施 |
|---|---|
| 令牌被盗 | 短 JWT 生命周期 + HMAC nonce 防重放 |
| 凭据泄露 | API 密钥以 SHA-256 哈希存储,永不明文 |
| 租户数据泄露 | 全局查询过滤器强制隔离 |
| 暴力破解 | 认证端点的滑动窗口限流 |
| 重放攻击 | HMAC nonce 存储带过期 |
| CSRF | 无基于 Cookie 的认证——全部基于令牌 |