安全
安全说明
概览身份认证、访问控制、传输保护与部署边界。
认证机制
网页登录后,系统会在浏览器中保存一枚受保护的会话凭证,用来识别当前用户;该凭证不能被页面脚本读取,并会按站点边界限制发送。正式生产环境会要求通过安全连接传输。账号密码用于受控试用和本地演示;企业统一身份可按项目接入 OIDC(企业 SSO 常用协议)。
访问控制
系统基于组织角色、管理员权限、模块权限和套餐权益控制工作台、治理后台、敏感动作与受控 API Key;关键操作会写入审计记录。
部署与传输边界
页面会带有内容安全策略,限制脚本和资源加载来源,降低被插入异常脚本的风险。正式公有云或专属部署由入口网关提供 HTTPS、强制安全连接、内容类型保护和来源引用控制;政企客户可按数据边界评估专属云、客户内网和模型内网接入。
API 与集成边界
API Gateway、API Key、Webhook 和模型调用范围属于受控集成能力,默认不向试用账号开放生产 API;开通后按项目、范围、配额和审计策略限制使用。