feat(security): 权限审批闭环 + ask策略引擎完整实现#163
Conversation
Codecov Report❌ Patch coverage is 📢 Thoughts on this report? Let us know! |
|
[P1] session 级权限记忆会覆盖后续的硬性 deny 规则。 [P2] webfetch 白名单里的 docs.* 实际会放行任意 docs. 主机。 |
|
修了 P1:session 记忆不再覆盖硬性 deny,仅在策略结果为 ask 时才走记忆。 |
|
新增/增强回归测试,覆盖 deny 优先级、webfetch 主机匹配、session memory 细节。 |
ResolvePermission 可被重复提交阻塞
|
permission_request 的 RememberScope 语义不准确在发出 |
Session 权限记忆粒度过粗会放大授权范围
|
|
感谢详细 review,3 个点都已在本轮修复,commit:ca06d78。 ResolvePermission 重复提交阻塞 已在 runtime 增加幂等门禁(Submitted)并改为非阻塞提交,避免同一 request 被重复触发时卡在 channel 发送。 已移除 request 事件中的固定 always_session 赋值。 已将记忆 key 从 action type + category 收紧为 action type + category + target scope。 |
Summary
permission_request -> TUI(y/a/n) -> runtime.ResolvePermission -> permission_resolved。once/always(session)/reject(session),可对同类别工具复用授权。bash全量askfilesystem_write_*/filesystem_edit全量askfilesystem_read_*命中敏感路径ask,私钥类命中denywebfetch白名单(github.com/*.github.com/docs.*)allow,其余askbootstrap默认接入推荐策略引擎,替换原全量 allow 静态网关。Test
Closes #162
Refs #98