Skip to content
全部能力
身份与信任packages/iam/vault

vault 能力包

客户密钥应用层信封加密 — AES-256-GCM、按租户 DEK、KMS 包装;解密带审计记录,落盘零明文。

打开文档
稳定性
稳定
作用域
按租户隔离
边界
packages/iam/vault
密钥库12 个密钥 · 3 个租户
rotation policy
OpenAI API Key
sk-•••••••••••8847
acme-prodkms/9f2a3 天前轮换
Stripe Webhook 密钥
whsec_•••••••••••1c4d
acme-prodkms/9f2a12 天前轮换
数据库密码
pg://•••••••••••a31f
lumen-devkms/4b7e27 天前轮换
明文DEKKEK (KMS)

AES-256-GCM · 租户级 DEK · KMS 包裹

使用方式vault.ts
typescript
vault.ts
1import { getVault } from "@nebutra/vault";
2
3const vault = await getVault();
4
5// Envelope encryption — AWS KMS unwraps the DEK per-record.
6const encrypted = await vault.encrypt(secretKey, {
7  tenantId: org.id,
8  name: "OpenAI API Key",
9});
10
11const plaintext = await vault.decrypt(encrypted);
同能力域 · 身份与信任
audit能力包
packages/iam/audit

面向 actor/tenant 行动的 hash-chain SHA-256 仅追加审计日志,SOC 2 级防篡改,支持流式导出与可回放查询。

查看
auth能力包
packages/iam/auth

多 provider 鉴权 — Clerk / Better Auth / NextAuth,preset 一行切换;React 接口统一,强制 MFA,session HMAC 签名。

查看
captcha能力包
packages/iam/captcha

一个 verify() 后端接口适配 Cloudflare Turnstile / hCaptcha / reCAPTCHA;分路启用,得分服务端判定,前端无第三方追踪。

查看
identity能力包
packages/iam/identity

统一 actor 原语 — usr_/svc_/api_ ID 空间,角色/成员关系,租户绑定;所有 iam 子包都从同一个 identity 对象读取上下文。

查看