认证授权
Authentication & Authorization
多策略认证、OAuth集成、API Key管理和权限控制
子问题
1.多OAuth提供商集成
2.JWT令牌刷新策略
3.API Key生命周期管理
4.密码哈希与加密
5.Device Authorization Flow 状态机设计
6.CLI OAuth 本地回调服务器与 State 加密防 CSRF
7.Tool OAuth 增量 scope 授权
8.Cloudflare Turnstile 人机验证集成
各项目的解法1 solutions
Signals
横向对比
| 维度 | Refly |
|---|---|
| 认证策略 | JWT + Refresh Token + API Key + 4 OAuth + Device Auth 六路并行 |
| 令牌存储 | Refresh Token argon2 哈希 + API Key SHA-256 哈希,双哈希策略 |
| Guard 架构 | 单 JwtAuthGuard 内部按 rf_ 前缀多路分发 |
| OAuth 集成 | Passport Strategy 模式,5 策略含 Google Tool OAuth 增量授权 |
| CLI 认证 | Device Authorization Flow 4 态状态机 + 令牌一次性交付 |
| 加密服务 | AES-256-GCM 独立 EncryptionService + AES-256-CBC OAuth State 加密 |
| 人机验证 | Cloudflare Turnstile 集成,配置开关优雅降级 |
最佳实践
1.使用argon2替代bcrypt做密码哈希
2.Refresh Token 用 jti.token 双段格式避免全表哈希扫描
3.API Key 用 rf_ 前缀让 Guard 零成本区分 JWT 和 API Key
4.Device Auth 令牌一次性交付后立即从 DB 清除