agent
1b11f7e976
显式引入数据库 TLS 配置并在生产环境拒绝弱 sslmode,避免连接静默降级。同步更新 deploy/README 与运维 runbook,落地 db.refining.ltd 的证书与服务器配置流程。 Made-with: Cursor
38 lines
2.4 KiB
Plaintext
38 lines
2.4 KiB
Plaintext
# Secrets MCP Server 环境变量配置
|
||
# 复制此文件为 .env 并填写真实值
|
||
|
||
# ─── 数据库 ───────────────────────────────────────────────────────────
|
||
# Web 会话(tower-sessions)与业务数据共用此库;启动时会自动 migrate 会话表,无需额外环境变量。
|
||
SECRETS_DATABASE_URL=postgres://postgres:PASSWORD@db.refining.ltd:5432/secrets-mcp
|
||
# 强烈建议生产使用 verify-full(至少 verify-ca)
|
||
SECRETS_DATABASE_SSL_MODE=verify-full
|
||
# 私有 CA 或自建链路时填写 CA 根证书路径;使用公共受信 CA 可留空
|
||
# SECRETS_DATABASE_SSL_ROOT_CERT=/etc/secrets/pg-ca.crt
|
||
# 当设为 prod/production 时,服务会拒绝弱 TLS 模式(prefer/disable/allow/require)
|
||
SECRETS_ENV=production
|
||
|
||
# ─── 服务地址 ─────────────────────────────────────────────────────────
|
||
# 内网监听地址(Cloudflare / Nginx 反代时填内网端口)
|
||
SECRETS_MCP_BIND=127.0.0.1:9315
|
||
|
||
# 对外 HTTPS 地址(用于 OAuth 回调 URL 拼接)
|
||
BASE_URL=https://secrets.example.com
|
||
|
||
# ─── Google OAuth ─────────────────────────────────────────────────────
|
||
# Google Cloud Console → APIs & Services → Credentials
|
||
# 授权回调 URI 须配置为:${BASE_URL}/auth/google/callback
|
||
GOOGLE_CLIENT_ID=
|
||
GOOGLE_CLIENT_SECRET=
|
||
|
||
# ─── 微信登录(暂未开放,预留)───────────────────────────────────────
|
||
# WECHAT_APP_CLIENT_ID=
|
||
# WECHAT_APP_CLIENT_SECRET=
|
||
|
||
# ─── 日志(可选)──────────────────────────────────────────────────────
|
||
# RUST_LOG=secrets_mcp=debug
|
||
|
||
# ─── 注意 ─────────────────────────────────────────────────────────────
|
||
# SERVER_MASTER_KEY 已不再需要。
|
||
# 新架构(E2EE)中,加密密钥由用户密码短语在客户端本地派生,服务端不持有原始密钥。
|
||
# 仅在需要迁移旧版 wrapped_key 数据时临时启用。
|