Bỏ qua nội dung chính
DocsXây dựng workflowNhận diện

Nhận diện

Lưu trữ an toàn các phím API trong Trung tâm thông tin xác thực và tham khảo chúng trong workflow.

Trung tâm tín hiệu là kho lưu trữ thống nhất của tất cả các phím bên ngoài - OpenAI API Key, Slack Webhoook, Strice Secret, xác thực nội bộ API... tất cả đều được đặt ở đây. Nền tảng sử dụng AES-256-GCM để mã hóa cơ sở dữ liệu, và nó sẽ không xuất khẩu YAML, bản ghi, và các sự kiện kiểm toán từ đầu đến cuối.

Tại sao cần phải đến Trung tâm Chứng chỉ?

Nếu bạn muốn viết key trực tiếp vào YAML một cách thuận tiện sẽ gặp 3 loại vấn đề:

  1. hở — Tất cả việc xuất YAML, gửi Git và xem trước khác biệt của trợ lý AI sẽ mang lại khóa văn bản gốc.
  2. Không thể xoay — Khi khóa bị thu hồi, mỗi YAML phải được sửa đổi thủ công, rất dễ bỏ sót.
  3. Không thể kiểm toán — Khi xảy ra sự cố, tôi không biết Khóa nào đã được sử dụng trong lần thực thi nào.

Trung tâm thông tin xác thực khiến YAML chỉ còn "tham chiếu"; giá trị thật chỉ được tiêm vào step tương ứng lúc chạy.

Trợ lý AI sử dụng các giấy ủy nhiệm này

Cấu hình đầy đủ của trợ lý AI nằm tại Cài đặt tài khoản → Trợ lý AI. Quản lý mô hình, prompt, công cụ, Skills, MCP và tham số Claude Code / Codex tại đó; trang này lưu thông tin xác thực cá nhân và nhóm.

Tạo thông tin xác thực

  1. "Quản lý thông tin xác thực" ở bên trái → "Thông tin xác thực mới" ở góc trên bên phải.
  2. Điền vào:
    • Tên — Một mã định danh ngắn hoàn toàn bằng chữ thường + dấu gạch dưới, sẽ được sử dụng để trích dẫn trong YAML. Ví dụ: openai_mainslack_webhook_url
    • Kiểu — api_key / oauth_token / bot_token / webhook_secret / generic。类型决定平台在 UI 上怎么展示它,对解析逻辑影响不大。
    • Giá trị — Viết xong thì không thể đọc lại được.
    • Miền tên — Cá nhân/Nhóm (nếu bạn tham gia nhóm trong gói Pro+).
    • Mô tả (tùy chọn) — Viết cho chính bạn hoặc thành viên đội xem, ví dụ: "prod key của OpenAI project X".
  3. Cứu. Nền tảng ngay lập tức mã hóa cơ sở dữ liệu và hiển thị nó trong danh sách dưới dạng ****abc3 Đây là dạng của một vài chữ số cuối cùng.
Giá trị chỉ có thể được ghi đè, không thể đọc lại

Điều này được thiết kế bảo mật - ngay cả quản trị viên nền tảng cũng không thể đọc được giá trị thông tin xác thực của bạn. Nếu quên giá trị ban đầu và cần thay đổi, bạn chỉ có thể xóa đi và xây dựng lại hoặc ghi đè bằng "giá trị cập nhật".

Trích dẫn thông tin đăng nhập trong YAML

Để Sử dụng cho Đại lý: trường nhà cung cấp

yaml
agents:
  writer:
    preset: writer
    overrides:
      model: gpt-4.1-mini
      provider: openai_main          # 凭据中心里的凭据名

provider: openai_main Bảo Agent: "khi gọi LLM hãy dùng chiếc key tên openai_main trong trung tâm thông tin xác thực". Nền tảng phân giải theo thứ tự không gian tên, trúng đầu tiên là dùng.

Đối với bước mã, hãy sử dụng: danh sách thông tin xác thực

yaml
- id: charge_customer
  type: code
  language: node
  credentials:
    - stripe_secret                  # 声明需要这两个凭据
    - internal_api_token
  code: |
    const stripe = require('stripe')(process.env.STRIPE_SECRET);
    const internal = await fetch('https://api.mycompany.com/invoice', {
      headers: { Authorization: 'Bearer ' + process.env.INTERNAL_API_TOKEN }
    });
    // ...

Sự miêu tả:

  • Chỉ những thông tin được khai báo rõ ràng trong thông tin xác thực: danh sách mới có thể đọc được - chúng sẽ không bị rò rỉ sang các bước khác.
  • Sau khi phân tích cú pháp, nó được đưa vào dưới dạng biến môi trường: tên thông tin xác thực openai_main → env var OPENAI_MAIN (SCREAMING_SNAKE_CASE).
  • Chỉ những cái được khai báo mới có thể được nhìn thấy trong process.env; thông tin xác thực khác trong trung tâm thông tin xác thực sẽ không hiển thị với mã này.

Được tham chiếu trong biểu thức biến

Một số trường (chẳng hạn như đầu vào của sub_workflow) có thể được trực tiếp {{credentials.xxx}} Trích dẫn:

yaml
- id: notify
  type: sub_workflow
  module: dingyue-module-slack-deliver
  inputs:
    slack_webhook_url: "{{credentials.slack_webhook_url}}"
    message_text: "..."

Cũng được phân tích cú pháp theo thứ tự không gian tên. Giá trị thông tin xác thực chỉ có hiệu lực khi bước hiện tại đang chạy và sẽ không được ghi vào ảnh chụp nhanh thực thi.

Không gian tên và thứ tự phân tích cú pháp

Tên giống nhau có thể tồn tại trong các không gian tên khác nhau. Khi chạy tìm kiếm theo thứ tự sau, lần nhấn đầu tiên, lần đầu sử dụng:

  1. không gian tên cá nhân — Nếu bạn tự xây dựng nó, chỉ có bạn mới có thể tham khảo nó.
  2. Không gian tên nhóm — Nó được chia sẻ bởi nhóm của bạn và có thể được tất cả các thành viên tham khảo. Chỉ Quản trị viên nhóm mới có thể tạo/xóa.
Cách sử dụng được đề xuất
  • Khóa sản xuất được chia sẻ (tài khoản trả phí của nhóm) → không gian tên nhóm
  • Để thử nghiệm của riêng bạn / chưa quyết định đưa nó vào nhóm → Không gian tên cá nhân
  • Chung cho cả nhóm: sử dụng cùng một tên ở cả hai cấp độ (ví dụ: openai_main) và không cần thay đổi tên đó trong YAML - bạn sử dụng tên cá nhân khi kiểm tra và tự động chuyển sang tên của nhóm khi lên mạng.

Nhà cung cấp: Liên kết nhiều khóa cho các doanh nghiệp khác nhau

Nếu bạn có nhiều Khóa (test/prod/team/project X/project Y) trong cùng một nhà cung cấp LLM (chẳng hạn như OpenAI), bạn có thể:

  1. Tạo một khóa cho mỗi khóa trong trung tâm thông tin xác thực (phân biệt tên: openai_test/openai_prod_a/openai_prod_b).
  2. Trường ghi đè.provider của Agent chỉ định trường nào sẽ sử dụng.
  3. Các quy trình làm việc khác nhau có thể sử dụng các nhà cung cấp khác nhau nhưng có cùng giá trị đặt trước mà không cần sao chép định nghĩa Agent.
yaml
agents:
  expensive:
    preset: universal
    overrides:
      model: claude-opus-4-7
      provider: anthropic_team_budget     # 团队有预算的那把

  cheap:
    preset: universal
    overrides:
      model: deepseek-v3-5
      provider: deepseek_personal         # 个人账户的

Mật mã Claude / Cổ điển đại diện

Nếu trợ lý AI hoặc Agent workflow sử dụng mô hình chỉ tiêu đăng ký, vui lòng tạo nhà cung cấp tương ứng trong "My Credentials":

  • claude_code_oauth — OAuth Token lấy bằng cách đăng nhập với Luật Claude.
  • codex_subscription — Văn bản đầy đủ của auth.json được tạo ra bởi Codex CLI.

Những giá trị này sẽ không được lưu vào cấu hình trợ lý Agent/AI, nhưng sẽ chỉ được tiêm tạm thời vào cI tương ứng vào thời gian chạy.

Xoay vòng và thu hồi

Xoay bình thường

  1. Trung tâm thông tin xác thực → bấm một thông tin xác thực → "Cập nhật giá trị".
  2. Nhập giá trị mới để lưu.
  3. Các lần thực thi mới được bắt đầu sau đó sẽ sử dụng giá trị mới; các lần thực thi đang diễn ra tiếp tục sử dụng giá trị cũ được lưu trong bộ nhớ đệm khi khởi động.

Thu hồi khẩn cấp

Tôi nghi ngờ rằng thông tin đăng nhập của tôi đã bị rò rỉ và tôi muốn tắt nó ngay lập tức:

  1. Nhấp vào thông tin xác thực trong Trung tâm thông tin xác thực → "Xóa".
  2. Tất cả các bước tham chiếu đến nó sẽ ngay lập tức thất bại với credential_not_found vào lần thực thi tiếp theo.
  3. Sau đó đến nhà cung cấp upstream (OpenAI/Anthropic...) để thu hồi key thật.
thứ tự là quan trọng

Trước tiên, hãy xóa nó trong Braidrun, sau đó đi đến thượng nguồn để thu hồi nó - nếu bạn làm ngược lại, nếu bạn thu hồi nó ở thượng nguồn trước khi xóa nó, quá trình thực thi đang chạy sẽ đột nhiên thất bại với số lượng lớn.

Kiểm toán

Nhật ký kiểm tra sẽ được ghi lại cho mỗi lần tạo/cập nhật/xóa/không giải quyết được thông tin xác thực được tham chiếu. Quản trị viên có thể vào trang "Nhật ký kiểm tra" để lọc credential_* theo loại sự kiện để xem.

Phân giải tham chiếu thành công không ghi log — tránh bùng nổ log. Nhưng chi tiết mỗi execution sẽ hiển thị siêu dữ liệu "execution này đã phân giải những thông tin xác thực nào".

FAQ

Tôi có thể sử dụng biến môi trường thay thế không?

Về mặt kỹ thuật có thể (thông qua các biến môi trường tự triển khai của nhóm), nhưng không được khuyến nghị:

  • Các biến môi trường là toàn cục ở cấp độ quy trình và có thể được đọc bởi process.env trong bất kỳ bước mã nào. Trung tâm thông tin xác thực chỉ tiêm một số ít bạn khai báo.
  • Xoay vòng biến môi trường yêu cầu khởi động lại dịch vụ và những thay đổi trong Trung tâm thông tin xác thực sẽ có hiệu lực ngay lập tức.
  • Các biến môi trường không được kiểm tra.

Đồng nghiệp có thể xem thông tin đăng nhập vùng tên cá nhân của tôi không?

Không. Ngay cả Quản trị viên nhóm cũng chỉ có thể thấy sự tồn tại của thông tin xác thực (trong danh sách) nhưng không thể thấy giá trị hoặc tham chiếu nó trong quy trình làm việc của chính mình - quá trình phân tích cú pháp trong thời gian chạy sẽ bị bỏ sót.

OAuth Làm mới để làm gì?

Đối với các nhà cung cấp OAuth chính thống (Google / GitHub / Slack / Notion): Refresh_token được đặt trong trung tâm thông tin xác thực và nền tảng access_token sẽ tự động được làm mới. Đối với các nhà cung cấp khác, bạn cần đặt mã thông báo hợp lệ lâu dài vào thông tin xác thực hoặc tự viết bước mã làm mới.

Bước tiếp theo