Skip to content

🔐 安全模型

凭证安全

  • API Key / OCR Token 通过环境变量或配置文件注入,不硬编码
  • 配置文件可设 0600 权限;CI/CD 中用 GitHub Secrets
  • 日志中对凭证做脱敏(只显示前 4 + 后 4 位)
  • 详见 🔑 凭证管理

数据合规

  • 仅整合已具备合法访问凭证的数据,不绕过付费墙
  • 备案主体信息属于公开企业信息,不涉及个人隐私
  • 调用方应自行确保使用场景合法(授权测试、合规核查等)

传输安全

  • 所有上游请求走 HTTPS
  • httpc 默认校验证书(InsecureSkipVerify=false
  • 超时与连接池均有默认上限,避免资源泄露

限速与友好

  • 默认开启令牌桶限速,避免对上游造成压力
  • 重试有退避与上限,不构成压力攻击
  • 详见 🛡️ 反爬与限速

输出安全

  • 导出文件不写入凭证
  • 日志默认不打印完整响应体(可能含敏感字段)
  • HTTP API 默认不回显内部错误细节

📚 延伸阅读

Released under the MIT License.