57c3efb70e
- API:桌面登录 session、Google 托管回调与轮询 - Desktop:轮询登录;bootstrap 在 vault 未解锁时不返回 shell,避免跳过主密码 - 文档与 deploy/.env.example 对齐 GOOGLE_OAUTH_* 与 SECRETS_PUBLIC_BASE_URL
58 lines
3.4 KiB
Plaintext
58 lines
3.4 KiB
Plaintext
# Secrets v3 环境变量配置
|
||
# 复制此文件为 .env 并填写真实值
|
||
|
||
# ─── 数据库 ───────────────────────────────────────────────────────────
|
||
# v3 API 与桌面端都复用这套数据库
|
||
SECRETS_DATABASE_URL=postgres://postgres:PASSWORD@db.refining.ltd:5432/secrets-v3
|
||
# 强烈建议生产使用 verify-full(至少 verify-ca)
|
||
SECRETS_DATABASE_SSL_MODE=verify-full
|
||
# 私有 CA 或自建链路时填写 CA 根证书路径;使用公共受信 CA 可留空
|
||
# SECRETS_DATABASE_SSL_ROOT_CERT=/etc/secrets/pg-ca.crt
|
||
# 当设为 prod/production 时,服务会拒绝弱 TLS 模式(prefer/disable/allow/require)
|
||
SECRETS_ENV=production
|
||
|
||
# ─── 服务地址 ─────────────────────────────────────────────────────────
|
||
SECRETS_API_BIND=127.0.0.1:9415
|
||
SECRETS_DAEMON_BIND=127.0.0.1:9515
|
||
SECRETS_API_BASE=http://127.0.0.1:9415
|
||
SECRETS_DAEMON_URL=http://127.0.0.1:9515/mcp
|
||
|
||
# ─── Google OAuth(服务端托管)──────────────────────────────────────────
|
||
# 官网 DMG 正式分发时,Google OAuth 凭据只配置在 API 服务端
|
||
SECRETS_PUBLIC_BASE_URL=http://127.0.0.1:9415
|
||
GOOGLE_OAUTH_CLIENT_ID=your-google-oauth-client-id.apps.googleusercontent.com
|
||
GOOGLE_OAUTH_CLIENT_SECRET=your-google-oauth-client-secret
|
||
GOOGLE_OAUTH_REDIRECT_URI=http://127.0.0.1:9415/auth/google/callback
|
||
# 可选:如不配置则使用 Google 默认公开端点
|
||
# GOOGLE_OAUTH_AUTH_URI=https://accounts.google.com/o/oauth2/v2/auth
|
||
# GOOGLE_OAUTH_TOKEN_URI=https://oauth2.googleapis.com/token
|
||
# 若仍无法换 token(仅提供端口代理、无系统代理):可取消注释并改为本机代理地址
|
||
# HTTPS_PROXY=http://127.0.0.1:7890
|
||
# NO_PROXY=localhost,127.0.0.1
|
||
|
||
# ─── 日志(可选)──────────────────────────────────────────────────────
|
||
# RUST_LOG=secrets_api=debug,secrets_desktop_daemon=debug
|
||
|
||
# ─── 数据库连接池(可选)──────────────────────────────────────────────
|
||
# 最大连接数,默认 10
|
||
# SECRETS_DATABASE_POOL_SIZE=10
|
||
# 获取连接超时秒数,默认 5
|
||
# SECRETS_DATABASE_ACQUIRE_TIMEOUT=5
|
||
|
||
# ─── 限流(可选)──────────────────────────────────────────────────────
|
||
# 全局限流速率(req/s),默认 100
|
||
# RATE_LIMIT_GLOBAL_PER_SECOND=100
|
||
# 全局限流突发量,默认 200
|
||
# RATE_LIMIT_GLOBAL_BURST=200
|
||
# 单 IP 限流速率(req/s),默认 20
|
||
# RATE_LIMIT_IP_PER_SECOND=20
|
||
# 单 IP 限流突发量,默认 40
|
||
# RATE_LIMIT_IP_BURST=40
|
||
|
||
# ─── 代理信任(可选)─────────────────────────────────────────────────
|
||
# 设为 1/true/yes 时从 X-Forwarded-For / X-Real-IP 提取客户端 IP
|
||
# 仅在反代环境下启用,否则客户端可伪造 IP 绕过限流
|
||
# TRUST_PROXY=1
|
||
|
||
# 桌面端会在 ~/.secrets-v3/desktop 下持久化 device token 与 device fingerprint
|