機密保管庫 (Secret vault)

Logto 的機密保管庫旨在安全儲存敏感的使用者資料——例如存取權杖 (Access tokens)、API 金鑰、通行碼，或任何需要保護的機密資訊。這些機密通常用於代表使用者存取第三方服務，因此安全儲存至關重要。

加密機制

為保護敏感資料，機密保管庫採用基於 資料加密金鑰 (DEK, Data Encryption Keys) 與 金鑰加密金鑰 (KEK, Key Encryption Keys) 的強大加密機制。

• 每筆機密獨立加密：每個機密都使用其專屬的 DEK 加密，即使某個金鑰遭到洩漏，其他機密依然安全。
• 金鑰包裹 (Key wrapping)：DEK 本身會以 KEK 進行加密（或「包裹」），KEK 由系統安全管理與儲存。
• 分層安全：這種雙層設計確保即使系統部分遭入侵，攻擊者若無 DEK 與 KEK 也無法取得機密。
• 最小化暴露：僅在絕對必要時才解密機密，降低意外洩漏風險，並符合敏感資料處理最佳實踐。

這種分層加密模型為使用者最敏感的憑證與權杖提供強大保護，同時在需要時仍能安全存取。

機密類型

第三方權杖儲存與 API 存取 (Third-party token storage & API access)

安全儲存與管理由聯邦第三方身分提供者 (IdPs, Identity providers) 發出的存取權杖 (Access tokens) 與重新整理權杖 (Refresh tokens)，以用於下游 API 呼叫。

資訊:

目前，聯邦權杖組 (Federated token set) 是唯一內建支援的機密類型。不過，機密保管庫設計上可容納任何類型的敏感資訊。如果你需要支援其他機密類型，請聯絡我們——我們很樂意協助。