现在我已经掌握了足够的信息来做一个完整清晰的分析。好的现在我来给出一个完整的分析。Difyprovider_model_credentials.encrypted_config解密分析整体加密架构Dify 使用 PKCS1_OAEP 加密来保护 API key。每个用户tenant都有一个唯一的密钥对确保 API key 的机密性。实际上从源码看Dify 用的是混合加密RSA AES下面是完整的加解密流程图### 核心源码解读加密逻辑api/libs/rsa.pyprefix_hybridbHYBRID:defencrypt(text:str,public_key:...)-bytes:aes_keyget_random_bytes(16)# 随机生成 AES-128 Keycipher_aesAES.new(aes_key,AES.MODE_EAX)ciphertext,tagcipher_aes.encrypt_and_digest(text.encode())# AES 加密明文cipher_rsagmpy2_pkcs10aep_cipher.new(rsa_key)enc_aes_keycipher_rsa.encrypt(aes_key)# RSA-OAEP 加密 AES Key# 拼接成最终密文returnprefix_hybridenc_aes_keycipher_aes.noncetagciphertext所以encrypted_config字段的字节结构为HYBRID: | enc_aes_key(256B) | nonce(16B) | tag(16B) | ciphertext(变长)解密逻辑api/core/provider_manager.py解密时系统通过encrypter.get_decrypt_decoding(tenant_id)获取租户的 RSA 私钥再调用encrypter.decrypt_token_with_decoding对provider_model_credentials中各字段的加密值进行解密。如何手动查看 API Key你需要同时具备两个东西1. 从数据库取出密文-- 找到目标记录SELECTid,tenant_id,model_name,encrypted_configFROMprovider_model_credentialsWHEREprovider_nameopenai;2. 取出对应租户的 RSA 私钥私钥存储位置取决于你的文件存储配置STORAGE_TYPE路径为privkeys/{tenant_id}/private.pem本地部署默认在api/storage/privkeys/{tenant_id}/private.pemS3/OSS 等在对应的 Bucket 中3. 用 Python 脚本解密fromCrypto.PublicKeyimportRSAfromCrypto.CipherimportAESimportbase64 prefixbHYBRID:defdecrypt_api_key(encrypted_hex_or_bytes:bytes,private_key_pem:bytes)-str:# 1. 去掉前缀dataencrypted_hex_or_bytesifdata.startswith(prefix):datadata[len(prefix):]# 2. 加载私钥rsa_keyRSA.import_key(private_key_pem)key_sizersa_key.size_in_bytes()# 256 bytes for RSA-2048# 3. 拆分各部分enc_aes_keydata[:key_size]noncedata[key_size:key_size16]tagdata[key_size16:key_size32]ciphertextdata[key_size32:]# 4. RSA-OAEP 解密 AES Keyfromlibsimportgmpy2_pkcs10aep_cipher# Dify 的 OAEP 实现cipher_rsagmpy2_pkcs10aep_cipher.new(rsa_key)aes_keycipher_rsa.decrypt(enc_aes_key)# 5. AES-EAX 解密明文cipher_aesAES.new(aes_key,AES.MODE_EAX,noncenonce)plaintextcipher_aes.decrypt_and_verify(ciphertext,tag)returnplaintext.decode()# 使用withopen(private.pem,rb)asf:pemf.read()# encrypted_config 字段值bytesapi_keydecrypt_api_key(encrypted_config_bytes,pem)print(api_key)注意事项关键点说明每个 tenant 独立密钥私钥按tenant_id分目录存放不同租户不能互解encrypted_config的格式provider_model_credentials表里存的是 JSON 序列化后的字段级加密每个敏感字段单独加密不是整条记录加密SECRET_KEY环境变量用于 AES-256 加密第三方 OAuth 凭证与 model credentials 是不同的加密路径不要直接改密钥替换 RSA 私钥后已存储的所有encrypted_config都将无法解密简单来说encrypted_config是 RSAAES 混合加密的密文解密必须持有对应tenant_id的 RSA 私钥文件这个文件在你的文件存储后端本地磁盘或对象存储中而不在数据库里。
https://github.com/langgenius/dify查看设置的apikey
发布时间:2026/5/15 19:33:41
现在我已经掌握了足够的信息来做一个完整清晰的分析。好的现在我来给出一个完整的分析。Difyprovider_model_credentials.encrypted_config解密分析整体加密架构Dify 使用 PKCS1_OAEP 加密来保护 API key。每个用户tenant都有一个唯一的密钥对确保 API key 的机密性。实际上从源码看Dify 用的是混合加密RSA AES下面是完整的加解密流程图### 核心源码解读加密逻辑api/libs/rsa.pyprefix_hybridbHYBRID:defencrypt(text:str,public_key:...)-bytes:aes_keyget_random_bytes(16)# 随机生成 AES-128 Keycipher_aesAES.new(aes_key,AES.MODE_EAX)ciphertext,tagcipher_aes.encrypt_and_digest(text.encode())# AES 加密明文cipher_rsagmpy2_pkcs10aep_cipher.new(rsa_key)enc_aes_keycipher_rsa.encrypt(aes_key)# RSA-OAEP 加密 AES Key# 拼接成最终密文returnprefix_hybridenc_aes_keycipher_aes.noncetagciphertext所以encrypted_config字段的字节结构为HYBRID: | enc_aes_key(256B) | nonce(16B) | tag(16B) | ciphertext(变长)解密逻辑api/core/provider_manager.py解密时系统通过encrypter.get_decrypt_decoding(tenant_id)获取租户的 RSA 私钥再调用encrypter.decrypt_token_with_decoding对provider_model_credentials中各字段的加密值进行解密。如何手动查看 API Key你需要同时具备两个东西1. 从数据库取出密文-- 找到目标记录SELECTid,tenant_id,model_name,encrypted_configFROMprovider_model_credentialsWHEREprovider_nameopenai;2. 取出对应租户的 RSA 私钥私钥存储位置取决于你的文件存储配置STORAGE_TYPE路径为privkeys/{tenant_id}/private.pem本地部署默认在api/storage/privkeys/{tenant_id}/private.pemS3/OSS 等在对应的 Bucket 中3. 用 Python 脚本解密fromCrypto.PublicKeyimportRSAfromCrypto.CipherimportAESimportbase64 prefixbHYBRID:defdecrypt_api_key(encrypted_hex_or_bytes:bytes,private_key_pem:bytes)-str:# 1. 去掉前缀dataencrypted_hex_or_bytesifdata.startswith(prefix):datadata[len(prefix):]# 2. 加载私钥rsa_keyRSA.import_key(private_key_pem)key_sizersa_key.size_in_bytes()# 256 bytes for RSA-2048# 3. 拆分各部分enc_aes_keydata[:key_size]noncedata[key_size:key_size16]tagdata[key_size16:key_size32]ciphertextdata[key_size32:]# 4. RSA-OAEP 解密 AES Keyfromlibsimportgmpy2_pkcs10aep_cipher# Dify 的 OAEP 实现cipher_rsagmpy2_pkcs10aep_cipher.new(rsa_key)aes_keycipher_rsa.decrypt(enc_aes_key)# 5. AES-EAX 解密明文cipher_aesAES.new(aes_key,AES.MODE_EAX,noncenonce)plaintextcipher_aes.decrypt_and_verify(ciphertext,tag)returnplaintext.decode()# 使用withopen(private.pem,rb)asf:pemf.read()# encrypted_config 字段值bytesapi_keydecrypt_api_key(encrypted_config_bytes,pem)print(api_key)注意事项关键点说明每个 tenant 独立密钥私钥按tenant_id分目录存放不同租户不能互解encrypted_config的格式provider_model_credentials表里存的是 JSON 序列化后的字段级加密每个敏感字段单独加密不是整条记录加密SECRET_KEY环境变量用于 AES-256 加密第三方 OAuth 凭证与 model credentials 是不同的加密路径不要直接改密钥替换 RSA 私钥后已存储的所有encrypted_config都将无法解密简单来说encrypted_config是 RSAAES 混合加密的密文解密必须持有对应tenant_id的 RSA 私钥文件这个文件在你的文件存储后端本地磁盘或对象存储中而不在数据库里。
相关文章
AI LED调光控制器智能功率 MOSFET 完整选型方案
2026年随着 AI 技术在智能照明与调光控制中的深度渗透(如自适应色温、场景联动、人因节律照明),调光控制器对功率 MOSFET 提出更高要求:高精度PWM响应、超低导通损耗、高散热密度。微碧半导体(VBsemi)基于S…
基于ResNet18的驾驶分心检测实战:从Kaggle数据集到模型部署
1. 驾驶分心检测的现实意义与技术选型 开车时刷手机、回消息这类行为已经成为现代交通的重大安全隐患。我去年参与过一个车载监控项目,亲眼看过因为司机低头看手机导致追尾的监控录像——从分心到事故发生往往只有3秒反应时间。这正是为什么State Farm保险公司会联合…
[利用LangGraph SDK调用部署的Agent-06]利用StoreClient访问和管理数据存储
LangGraph的BaseCheckpointSaver采用基于Checkpoint的持久化记录下一个基于Thread的对话历史,这种基于会话的持久化属于短期存储。复杂的流程在运行的时候还需要跨越多个对话的长期甚至永久存储,这类存储被抽象成一个BaseStore类型。LangGraph客户端SDK提…
金蝶云星空 FRP 财务板块 AI 二次开发与系统集成的完整步骤
金蝶云星空 FRP 财务板块 AI 二次开发与系统集成的完整步骤,从立项到上线运维,全部按实战流程拆解,同时重点讲清楚BOS 二次开发怎么上手做。一、整体实施步骤(AI FRP 系统集成)第 1 步:业务需求与流程梳理…
构建支持多轮对话的客服机器人时Taotoken的接入实践
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 构建支持多轮对话的客服机器人时Taotoken的接入实践 在开发智能客服机器人时,一个核心的技术挑战是如何稳定、高效地接…
豆包大模型流式响应实战
用户问了一个问题,AI思考了30秒,然后一次性吐出800字的回答。这30秒里,用户可能在怀疑:系统是不是卡了?网络是不是断了?我是不是白等了?流式响应,就是解决这个问题的答案。本文将基于…
2026年智能电话外呼机器人厂家优质推荐榜亲测结果
前言在当今数字化营销的浪潮中,智能电话外呼机器人凭借其高效、精准的特性,成为了众多企业提升销售效率、拓展客户资源的有力工具。随着技术的不断进步,市场上的外呼机器人品牌如雨后春笋般涌现,这也让企业在选择时面临诸多困惑。…
国产CPU与自研Wi-Fi 6芯片协同,构建自主可控高速无线连接方案
1. 项目概述:当国产CPU遇上自研Wi-Fi 6芯片最近在跟进一个企业级无线网络升级的项目,客户对数据安全和供应链自主可控的要求非常高。在方案选型时,一个技术组合引起了我的注意:基于兆芯CPU和统信UOS的终端平台,成功适配…
【linux学习】linux基本指令02
我是程序员小青蛙,下面来介绍linux基本指令前言上一篇介绍了man,touch,mkdir,ls,rm,cd,pwd指令,这些都是一些重要的基本指令,下面介绍另一部分基本指令。一、cp指令Linux cp 命令(copy)作用:复制文件 / 复制…
【2026】新高考英语大纲词汇表3500个电子版PDF(含正序版、乱序版和默写版)
高中英语大纲词汇表(2026年版)内容说明 词汇收录标准 严格遵循高中英语教学大纲要求,精选3500个核心词汇,全面覆盖高中阶段英语学习的基础词汇与进阶词汇。 版本分类及功能 版本类型编排特点主要功能正序版按字母顺序排列系统…
【最新v2.7.1 版本】零代码无命令!OpenClaw 零基础快速部署保姆级实战教程
OpenClaw(小龙虾)Windows 一键部署保姆级教程 | 10 分钟搭建专属数字员工 前言 2026 年开源圈热门 AI 智能体 OpenClaw(昵称小龙虾),GitHub 星标突破 28 万,凭借本地运行 零代码操作 智能自动执行收获大…
别再只用HashMap了!用Java BitSet和布隆过滤器处理亿级数据去重,内存省了90%
亿级数据去重的终极武器:Java BitSet与布隆过滤器实战手册 当你的JVM内存被一个简单的用户ID去重任务撑爆时,当你的日志分析系统因为HashSet的过度内存消耗而崩溃时,是时候重新审视那些被我们忽视的空间压缩神器了。本文将带你深入两种能够将…
贾子理论与AI时代文明竞争:从暴力计算到本质贯通的范式重构
贾子理论与AI时代文明竞争:从暴力计算到本质贯通的范式重构摘要本文基于贾子理论的文明竞争视角,揭示中美AI战略差异的本质并非技术参数较量,而是“暴力计算”与“本质贯通”两种文明范式的根本对立。美国依赖算力堆叠与资本逻辑追求技术霸权…
2026年AI大模型API中转平台排名揭晓,诗云API(ShiyunApi)脱颖而出成省心之选
在AI开发领域,如何接入模型厂商的官方API是一个绕不开的现实问题。对于海外开发者来说,注册、绑卡、调用,三步即可轻松搞定。然而,国内开发者却面临着跨境网络波动、外币支付门槛、发票合规需求以及多厂商Key碎片化管理等诸多“非…
基于飞书与OpenAI构建企业级AI助手:架构、部署与深度优化指南
1. 项目概述:当飞书遇上AI,一个企业级智能助手的诞生 最近在折腾一个挺有意思的项目,叫“ConnectAI-E/feishu-openai”。简单来说,它就是一个桥梁,把飞书这个强大的企业协作平台,和以ChatGPT为代表的OpenA…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…