安全体系总览
三层防火墙
Neurova 从多个层面确保系统安全性:
| 层面 | 机制 |
|---|---|
| 传输安全 | JWT Bearer Token 认证 |
| 访问控制 | 基于角色的权限管理 (admin/user) |
| 入口防护 | IP 黑白名单、速率限制、输入检测 |
| 数据脱敏 | API Key、Token、密码等敏感信息自动替换 |
| 用户隔离 | 用户间数据完全不可见,硬隔离 |
| Agent 隔离 | 可配置的 Agent 间沙箱隔离 |
| 文件保护 | 敏感文件类型和路径自动拦截 |
| 信任域 | LLM 和模型服务内部流量不受防火墙限制 |
L0: 入口守护
JWT 认证
所有 API 请求必须携带有效的 JWT Token:
### IP 访问控制
速率限制
| 端点类型 | 限制 | 窗口 |
|---|---|---|
| 认证接口 | 5次/分钟 | 滑动窗口 |
| 对话接口 | 60次/分钟 | 滑动窗口 |
| 读取接口 | 300次/分钟 | 滑动窗口 |
L1: 隔离守护
用户数据隔离
### Agent 隔离(可选)
// Agent A 无法访问 Agent B 的数据 if ($config['agent_isolation']) { $query .= " AND agent_id = :agent_id"; } ```
L2: 输出守护
敏感信息脱敏
### 文件访问保护
foreach ($blockedPaths as $path) { if (strpos($requestedPath, $path) !== false) { http_response_code(403); exit('Access denied'); } } ```