Secret Vault
Logto 的 Secret Vault 設計用於安全儲存敏感的使用者資料——例如存取權杖 (Access tokens)、API 金鑰、通行碼,或任何需要保護的機密資訊。這些秘密通常用於代表使用者存取第三方服務,因此安全儲存至關重要。
加密機制
為了保護敏感資料,Secret Vault 採用基於 資料加密金鑰 (DEK, Data Encryption Keys) 與 金鑰加密金鑰 (KEK, Key Encryption Keys) 的強大加密機制。
- 每個秘密獨立加密: 每個秘密都使用其專屬的 DEK 加密,即使某一金鑰遭到洩漏,其他秘密仍然安全。
- 金鑰包裹 (Key wrapping): DEK 本身會被 KEK 加密(或「包裹」),KEK 由系統安全管理與儲存。
- 分層安全: 這種雙層設計確保即使系統部分遭入侵,攻擊者若無 DEK 與 KEK 也無法取得秘密。
- 最小化暴露: 僅在絕對必要時才解密秘密,降低意外暴露風險,並符合敏感資料處理最佳實踐。
這種分層加密模型為使用者最敏感的憑證與權杖提供強大保護,同時在需要時仍能安全存取。
秘密類型
安全儲存與管理由聯邦第三方身分提供者 (IdPs, Identity Providers) 發出的存取權杖 (Access tokens) 與重新整理權杖 (Refresh tokens),以便於下游 API 呼叫使用。
資訊:
目前,聯邦權杖組 (Federated token set) 是唯一內建支援的秘密類型。不過,Secret Vault 的設計可容納任何類型的敏感資訊。如果你需要支援其他秘密類型,請聯絡我們——我們很樂意協助你。