# Secrets CLI — AGENTS.md ## 提交 / 发版硬规则(优先于下文其他说明) 1. 涉及 `src/**`、`Cargo.toml`、`Cargo.lock`、CLI 行为变更的提交,默认视为**需要发版**,除非用户明确说明“本次不发版”。 2. 发版前必须先检查 `Cargo.toml` 中的 `version`,再检查是否已存在对应 tag:`git tag -l 'secrets-*'`。 3. 若当前版本对应 tag 已存在,必须先 bump `Cargo.toml` 的 `version`,再执行 `cargo build` 同步 `Cargo.lock`,然后才能提交。 4. 提交前优先运行 `./scripts/release-check.sh`;该脚本会检查重复版本并执行 `cargo fmt -- --check && cargo clippy --locked -- -D warnings && cargo test --locked`。 跨设备密钥与配置管理 CLI 工具,将 refining / ricnsmart 两个项目的服务器信息、服务凭据存储到 PostgreSQL 18,供 AI 工具读取上下文。敏感数据(encrypted 字段)使用 AES-256-GCM 加密,主密钥由 Argon2id 从主密码派生并存入平台安全存储(macOS Keychain / Windows Credential Manager / Linux keyutils)。 ## 项目结构 ``` secrets/ src/ main.rs # CLI 入口,clap 命令定义,auto-migrate,--verbose 全局参数 output.rs # OutputMode 枚举 + TTY 检测(TTY→text,非 TTY→json-compact) config.rs # 配置读写:~/.config/secrets/config.toml(database_url) db.rs # PgPool 创建 + 建表/索引(幂等,含 audit_log + kv_config + secrets_history) crypto.rs # AES-256-GCM 加解密、Argon2id 派生、OS 钥匙串 models.rs # Secret 结构体(sqlx::FromRow + serde,含 version 字段) audit.rs # 审计写入:log_tx(事务内)/ log(池,保留备用) commands/ init.rs # init 命令:主密钥初始化(每台设备一次) add.rs # add 命令:upsert,事务化,含历史快照,支持 key:=json 类型化值与嵌套路径写入 config.rs # config 命令:set-db / show / path(持久化 database_url) search.rs # search 命令:多条件查询,公开 fetch_rows / build_env_map delete.rs # delete 命令:事务化,含历史快照 update.rs # update 命令:增量更新,CAS 并发保护,含历史快照 rollback.rs # rollback / history 命令:版本回滚与历史查看 run.rs # inject / run 命令:临时环境变量注入 upgrade.rs # upgrade 命令:检查、校验摘要并下载最新版本,自动替换二进制 scripts/ release-check.sh # 发版前检查版本号/tag 是否重复,并执行 fmt/clippy/test setup-gitea-actions.sh # 配置 Gitea Actions 变量与 Secrets .gitea/workflows/ secrets.yml # CI:fmt + clippy + musl 构建 + Release 上传 + 飞书通知 .vscode/tasks.json # 本地测试任务(build / config / search / add+delete / update / audit 等) ``` ## 数据库 - **Host**: `:` - **Database**: `secrets` - **连接串**: `postgres://postgres:@:/secrets` - **表**: `secrets`(主表)+ `audit_log`(审计表)+ `kv_config`(Argon2 salt 等),首次连接自动建表(auto-migrate) ### 表结构 ```sql secrets ( id UUID PRIMARY KEY DEFAULT uuidv7(), -- PG18 时间有序 UUID namespace VARCHAR(64) NOT NULL, -- 一级隔离: "refining" | "ricnsmart" kind VARCHAR(64) NOT NULL, -- 类型: "server" | "service"(可扩展) name VARCHAR(256) NOT NULL, -- 人类可读标识 tags TEXT[] NOT NULL DEFAULT '{}', -- 灵活标签: ["aliyun","hongkong"] metadata JSONB NOT NULL DEFAULT '{}', -- 明文描述: ip, desc, domains, location... encrypted BYTEA NOT NULL DEFAULT '\x', -- AES-256-GCM 密文: nonce(12B)||ciphertext+tag version BIGINT NOT NULL DEFAULT 1, -- 乐观锁版本号,每次写操作自增 created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(), updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW(), UNIQUE(namespace, kind, name) ) ``` ```sql secrets_history ( id BIGINT GENERATED ALWAYS AS IDENTITY PRIMARY KEY, secret_id UUID NOT NULL, -- 对应 secrets.id namespace VARCHAR(64) NOT NULL, kind VARCHAR(64) NOT NULL, name VARCHAR(256) NOT NULL, version BIGINT NOT NULL, -- 被快照时的版本号 action VARCHAR(16) NOT NULL, -- 'add' | 'update' | 'delete' | 'rollback' tags TEXT[] NOT NULL DEFAULT '{}', metadata JSONB NOT NULL DEFAULT '{}', encrypted BYTEA NOT NULL DEFAULT '\x', -- 快照时的加密密文 actor VARCHAR(128) NOT NULL DEFAULT '', created_at TIMESTAMPTZ NOT NULL DEFAULT NOW() ) ``` ```sql kv_config ( key TEXT PRIMARY KEY, -- 如 'argon2_salt' value BYTEA NOT NULL -- Argon2id salt,首台设备 init 时生成 ) ``` ### audit_log 表结构 ```sql audit_log ( id BIGINT GENERATED ALWAYS AS IDENTITY PRIMARY KEY, action VARCHAR(32) NOT NULL, -- 'add' | 'update' | 'delete' namespace VARCHAR(64) NOT NULL, kind VARCHAR(64) NOT NULL, name VARCHAR(256) NOT NULL, detail JSONB NOT NULL DEFAULT '{}', -- 变更摘要(tags/meta keys/secret keys,不含 value) actor VARCHAR(128) NOT NULL DEFAULT '', -- 操作者($USER 环境变量) created_at TIMESTAMPTZ NOT NULL DEFAULT NOW() ) ``` ### 字段职责划分 | 字段 | 存什么 | 示例 | |------|--------|------| | `namespace` | 项目/团队隔离 | `refining`, `ricnsmart` | | `kind` | 记录类型 | `server`, `service` | | `name` | 唯一标识名 | `i-uf63f2uookgs5uxmrdyc`, `gitea` | | `tags` | 多维分类标签 | `["aliyun","hongkong","ricn"]` | | `metadata` | 明文非敏感信息 | `{"ip":"47.243.154.187","desc":"Grafana","domains":["..."]}` | | `encrypted` | 敏感凭据,AES-256-GCM 加密存储 | 二进制密文,解密后为 `{"ssh_key":"...","password":"..."}` | ## 数据库配置 首次使用需显式配置数据库连接,设置一次后在该设备上持久生效: ```bash secrets config set-db "postgres://postgres:@:/secrets" secrets config show # 查看当前配置(密码脱敏) secrets config path # 打印配置文件路径 ``` `set-db` 会先验证连接可用,成功后才写入配置文件;连接失败时提示 "Database connection failed" 且不修改配置。 配置文件:`~/.config/secrets/config.toml`,权限 0600。`--db-url` 参数可一次性覆盖。 ## 主密钥与加密 首次使用(每台设备各执行一次): ```bash secrets config set-db "postgres://postgres:@:/secrets" secrets init # 提示输入主密码,Argon2id 派生主密钥后存入 OS 钥匙串 ``` 主密码不存储;salt 存于 `kv_config`,首台设备生成后共享,确保同一主密码在所有设备派生出相同主密钥。 主密钥存储后端:macOS Keychain、Windows Credential Manager、Linux keyutils(会话级,重启后需再次 `secrets init`)。 **从旧版(明文 JSONB)升级**:升级后执行 `secrets init` 即可(明文记录需手动重新 add 或通过 update 更新)。 ## CLI 命令 ### AI 使用主路径 **读取一律用 `search`,写入用 `add` / `update`,避免反复查帮助。** 输出格式规则: - TTY(终端直接运行)→ 默认 `text` - 非 TTY(管道/重定向/AI 调用)→ 自动 `json-compact` - 显式 `-o json` → 美化 JSON - 显式 `-o env` → KEY=VALUE(可 source) --- ### init — 主密钥初始化(每台设备一次) ```bash # 首次设备:生成 Argon2id salt 并存库,派生主密钥后存 OS 钥匙串 secrets init # 后续设备:复用已有 salt,派生主密钥后存钥匙串(主密码需与首台相同) secrets init ``` ### search — 发现与读取 ```bash # 参数说明(带典型值) # -n / --namespace refining | ricnsmart # --kind server | service # --name gitea | i-uf63f2uookgs5uxmrdyc | mqtt # --tag aliyun | hongkong | production # -q / --query mqtt | grafana | gitea (模糊匹配 name/namespace/kind/tags/metadata) # --show-secrets 已弃用;search 不再直接展示 secrets # -f / --field metadata.ip | metadata.url | metadata.default_org # --summary 不带值的 flag,仅返回摘要(name/tags/desc/updated_at) # --limit 20 | 50(默认 50) # --offset 0 | 10 | 20(分页偏移) # --sort name(默认)| updated | created # -o / --output text | json | json-compact | env # 发现概览(起步推荐) secrets search --summary --limit 20 secrets search -n refining --summary --limit 20 secrets search --sort updated --limit 10 --summary # 精确定位单条记录 secrets search -n refining --kind service --name gitea secrets search -n refining --kind server --name i-uf63f2uookgs5uxmrdyc # 精确定位并获取完整内容(secrets 保持加密占位) secrets search -n refining --kind service --name gitea -o json # 直接提取 metadata 字段值(最短路径) secrets search -n refining --kind service --name gitea -f metadata.url secrets search -n refining --kind service --name gitea \ -f metadata.url -f metadata.default_org # 需要 secrets 时,改用 inject / run secrets inject -n refining --kind service --name gitea secrets run -n refining --kind service --name gitea -- printenv # 模糊关键词搜索 secrets search -q mqtt secrets search -q grafana secrets search -q 47.117 # 按条件过滤 secrets search -n refining --kind service secrets search -n ricnsmart --kind server secrets search --tag hongkong secrets search --tag aliyun --summary # 分页 secrets search -n refining --summary --limit 10 --offset 0 secrets search -n refining --summary --limit 10 --offset 10 # 管道 / AI 调用(非 TTY 自动 json-compact) secrets search -n refining --kind service | jq '.[].name' # 导出 metadata 为 env 文件(单条记录) secrets search -n refining --kind service --name gitea -o env \ > ~/.config/gitea/config.env ``` --- ### add — 新增或全量覆盖(upsert) ```bash # 参数说明(带典型值) # -n / --namespace refining | ricnsmart # --kind server | service # --name gitea | i-uf63f2uookgs5uxmrdyc # --tag aliyun | hongkong(可重复) # -m / --meta ip=47.117.131.22 | desc="Aliyun ECS" | url=https://... | tls:cert@./cert.pem(可重复) # -s / --secret token= | ssh_key=@./key.pem | password=secret123 | credentials:content@./key.pem(可重复) # 添加服务器 secrets add -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \ --tag aliyun --tag shanghai \ -m ip=47.117.131.22 -m desc="Aliyun Shanghai ECS" \ -s username=root -s ssh_key=@./keys/voson_shanghai_e.pem # 添加服务凭据 secrets add -n refining --kind service --name gitea \ --tag gitea \ -m url=https://gitea.refining.dev -m default_org=refining -m username=voson \ -s token= -s runner_token= # 从文件读取 token secrets add -n ricnsmart --kind service --name mqtt \ -m host=mqtt.ricnsmart.com -m port=1883 \ -s password=@./mqtt_password.txt # 多行文件直接写入嵌套 secret 字段 secrets add -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \ -s credentials:content@./keys/voson_shanghai_e.pem # 使用类型化值(key:=)存储非字符串类型 secrets add -n refining --kind service --name prometheus \ -m scrape_interval:=15 \ -m enabled:=true \ -m labels:='["prod","metrics"]' \ -s api_key=abc123 ``` --- ### update — 增量更新(记录必须已存在) 只有传入的字段才会变动,其余全部保留。 ```bash # 参数说明(带典型值) # -n / --namespace refining | ricnsmart # --kind server | service # --name gitea | i-uf63f2uookgs5uxmrdyc # --add-tag production | backup(不影响已有 tag,可重复) # --remove-tag staging | deprecated(可重复) # -m / --meta ip=10.0.0.1 | desc="新描述" | credentials:username=root(新增或覆盖,可重复) # --remove-meta old_port | legacy_key | credentials:content(删除 metadata 字段,可重复) # -s / --secret token= | ssh_key=@./new.pem | credentials:content@./new.pem(新增或覆盖,可重复) # --remove-secret old_password | deprecated_key | credentials:content(删除 secret 字段,可重复) # 更新单个 metadata 字段 secrets update -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \ -m ip=10.0.0.1 # 轮换 token secrets update -n refining --kind service --name gitea \ -s token= # 新增 tag 并轮换 token secrets update -n refining --kind service --name gitea \ --add-tag production \ -s token= # 移除废弃字段 secrets update -n refining --kind service --name mqtt \ --remove-meta old_port --remove-secret old_password # 从文件更新嵌套 secret 字段 secrets update -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \ -s credentials:content@./keys/voson_shanghai_e.pem # 删除嵌套字段 secrets update -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \ --remove-secret credentials:content # 移除 tag secrets update -n refining --kind service --name gitea --remove-tag staging ``` --- ### delete — 删除记录 ```bash # 参数说明(带典型值) # -n / --namespace refining | ricnsmart # --kind server | service # --name gitea | i-uf63f2uookgs5uxmrdyc(必须精确匹配) # 删除服务凭据 secrets delete -n refining --kind service --name legacy-mqtt # 删除服务器记录 secrets delete -n ricnsmart --kind server --name i-old-server-id ``` --- ### history — 查看变更历史 ```bash # 参数说明 # -n / --namespace refining | ricnsmart # --kind server | service # --name 记录名 # --limit 返回条数(默认 20) # 查看某条记录的历史版本列表 secrets history -n refining --kind service --name gitea # 查最近 5 条 secrets history -n refining --kind service --name gitea --limit 5 # JSON 输出 secrets history -n refining --kind service --name gitea -o json ``` --- ### rollback — 回滚到指定版本 ```bash # 参数说明 # -n / --namespace refining | ricnsmart # --kind server | service # --name 记录名 # --to-version 目标版本号(省略则恢复最近一次快照) # 撤销上次修改(回滚到最近一次快照) secrets rollback -n refining --kind service --name gitea # 回滚到版本 3 secrets rollback -n refining --kind service --name gitea --to-version 3 ``` --- ### inject — 输出临时环境变量 敏感值仅打印到 stdout,不持久化、不写入当前 shell。 ```bash # 参数说明 # -n / --namespace refining | ricnsmart # --kind server | service # --name 记录名 # --tag 按 tag 过滤(可重复) # --prefix 变量名前缀(留空则以记录 name 作前缀) # -o / --output text(默认 KEY=VALUE)| json | json-compact # 打印单条记录的所有变量(KEY=VALUE 格式) secrets inject -n refining --kind service --name gitea # 自定义前缀 secrets inject -n refining --kind service --name gitea --prefix GITEA # JSON 格式(适合管道或脚本解析) secrets inject -n refining --kind service --name gitea -o json # eval 注入当前 shell(谨慎使用) eval $(secrets inject -n refining --kind service --name gitea) ``` --- ### run — 向子进程注入 secrets 并执行命令 secrets 仅作用于子进程环境,不修改当前 shell,进程退出码透传。 ```bash # 参数说明 # -n / --namespace refining | ricnsmart # --kind server | service # --name 记录名 # --tag 按 tag 过滤(可重复) # --prefix 变量名前缀 # -- 执行的命令及参数 # 向脚本注入单条记录的 secrets secrets run -n refining --kind service --name gitea -- ./deploy.sh # 按 tag 批量注入(多条记录合并) secrets run --tag production -- env | grep -i token # 验证注入了哪些变量 secrets run -n refining --kind service --name gitea -- printenv ``` --- ### upgrade — 自动更新 CLI 二进制 从 Gitea Release 下载最新版本,校验对应 `.sha256` 摘要后替换当前二进制,无需数据库连接或主密钥。 ```bash # 检查是否有新版本(不下载) secrets upgrade --check # 下载、校验 SHA-256 并安装最新版本 secrets upgrade ``` --- ### config — 配置管理(无需主密钥) ```bash # 设置数据库连接(每台设备执行一次,之后永久生效;先验证连接可用再写入) secrets config set-db "postgres://postgres:@:/secrets" # 查看当前配置(密码脱敏) secrets config show # 打印配置文件路径 secrets config path # 输出: /Users//.config/secrets/config.toml ``` --- ### 全局参数 ```bash # debug 日志(位于子命令之前) secrets --verbose search -q mqtt secrets -v add -n refining --kind service --name gitea -m url=xxx -s token=yyy # 或通过环境变量精细控制 RUST_LOG=secrets=trace secrets search # 一次性覆盖数据库连接 secrets --db-url "postgres://..." search -n refining ``` ## 代码规范 - 错误处理:统一使用 `anyhow::Result`,不用 `unwrap()` - 异步:全程 `tokio`,数据库操作 `sqlx` async - SQL:使用 `sqlx::query` / `sqlx::query_as` 绑定参数,禁止字符串拼接(搜索的动态 WHERE 子句除外,需使用参数绑定 `$1/$2`) - 新增 `kind` 类型时:只需在 `add` 调用时传入,无需改代码 - 字段命名:CLI 短标志 `-n`=namespace,`-m`=meta,`-s`=secret,`-q`=query,`-v`=verbose,`-f`=field,`-o`=output - 日志:用户可见输出用 `println!`;调试/运维信息用 `tracing::debug!`/`info!`/`warn!`/`error!` - 审计:`add`/`update`/`delete` 成功后调用 `audit::log_tx`,写入 `audit_log` 表;失败只 warn 不中断 - 加密:`encrypted` 列存储 AES-256-GCM 密文;`add`/`update`/`search`/`delete` 需主密钥(`secrets init` 后从 OS 钥匙串加载) - 输出:读命令通过 `OutputMode` 支持 text/json/json-compact/env;写命令 `add` 同样支持 `-o json` ## 提交前检查(必须全部通过) 每次提交代码前,请在本地依次执行以下检查,**全部通过后再 push**: 优先使用: ```bash ./scripts/release-check.sh ``` 它等价于先检查版本号 / tag,再执行下面的格式、Lint、测试。 ### 1. 版本号(按需) 若本次改动需要发版,请先确认 `Cargo.toml` 中的 `version` 已提升,避免 CI 打出的 Tag 与已有版本重复。**升级版本后需同时更新 `Cargo.lock`**(运行 `cargo build` 即可自动同步),否则 CI 中 `cargo clippy --locked` 会因 lock 与 manifest 不一致而失败。可通过 git tag 判断: ```bash # 查看当前 Cargo.toml 版本 grep '^version' Cargo.toml # 查看是否已存在该版本对应的 tag(CI 使用格式 secrets-) git tag -l 'secrets-*' ``` 若当前版本已被 tag(例如已有 `secrets-0.3.0` 且 `Cargo.toml` 仍为 `0.3.0`),则应在 `Cargo.toml` 中 bump 版本号,再执行 `cargo build` 同步 `Cargo.lock`,最后一并提交,以便 CI 自动打新 Tag 并发布 Release。 ### 2. 格式、Lint、测试 ```bash cargo fmt -- --check # 格式检查(不通过则运行 cargo fmt 修复) cargo clippy -- -D warnings # Lint 检查(消除所有 warning) cargo test # 单元/集成测试 ``` 或一次性执行: ```bash cargo fmt -- --check && cargo clippy -- -D warnings && cargo test ``` ## CI/CD - Gitea Actions(runners: debian / darwin-arm64 / windows) - 触发:`src/**`、`Cargo.toml`、`Cargo.lock` 变更推送到 main - 构建目标:`x86_64-unknown-linux-musl`、`aarch64-apple-darwin`、`x86_64-apple-darwin`(由 ARM mac runner 交叉编译)、`x86_64-pc-windows-msvc` - 新版本自动打 Tag(格式 `secrets-`)并上传二进制与对应 `.sha256` 摘要到 Gitea Release - Release 仅在 Linux/macOS/Windows 构建全部成功后才会从 draft 发布 - 通知:飞书 Webhook(`vars.WEBHOOK_URL`) - 所需 secrets/vars:`RELEASE_TOKEN`(Release 上传,Gitea PAT)、`vars.WEBHOOK_URL`(通知,可选) - **注意**:Gitea Actions 的 Secret/Variable 创建时,`data`/`value` 字段需传入**原始值**,不要使用 base64 编码 ## 环境变量 | 变量 | 说明 | |------|------| | `RUST_LOG` | 日志级别,如 `secrets=debug`、`secrets=trace`(默认 warn) | | `USER` | 审计日志 actor 字段来源,Shell 自动设置,通常无需手动配置 | 数据库连接通过 `secrets config set-db` 持久化到 `~/.config/secrets/config.toml`,不支持环境变量。