Roller
Gateway WebSocket istemcileri tek bir rolle bağlanır:operator: CLI, Control UI, otomasyon ve güvenilen yardımcı süreçler gibi kontrol düzlemi istemcileri.node:node.invokeüzerinden komutları sunan macOS, iOS, Android veya başsız düğümler gibi yetenek ana bilgisayarları.
operator rolünü gerektirir. Node kaynaklı yöntemler
node rolünü gerektirir.
Kapsam düzeyleri
| Kapsam | Anlam |
|---|---|
operator.read | Salt okunur durum, listeler, katalog, günlükler, oturum okumaları ve diğer değişiklik yapmayan kontrol düzlemi çağrıları. |
operator.write | Mesaj gönderme, araçları çağırma, konuşma/ses ayarlarını güncelleme ve düğüm komut aktarma gibi normal değişiklik yapan operatör eylemleri. Ayrıca operator.read kapsamını karşılar. |
operator.admin | Yönetimsel kontrol düzlemi erişimi. Her operator.* kapsamını karşılar. Yapılandırma değişikliği, güncellemeler, yerel kancalar, hassas ayrılmış ad alanları ve yüksek riskli onaylar için gereklidir. |
operator.pairing | Eşleştirme kayıtlarını veya cihaz belirteçlerini listeleme, onaylama, reddetme, kaldırma, döndürme ve iptal etmeyi içeren cihaz ve düğüm eşleştirme yönetimi. |
operator.approvals | Exec ve Plugin onay API’leri. |
operator.talk.secrets | Gizli bilgiler dahil edilerek Talk yapılandırmasını okuma. |
operator.* kapsamları, çağıranda operator.admin yoksa
tam eşleşme gerektirir.
Yöntem kapsamı yalnızca ilk kapıdır
Her Gateway RPC’sinin en düşük ayrıcalıklı bir yöntem kapsamı vardır. Bu yöntem kapsamı, isteğin işleyiciye ulaşıp ulaşamayacağına karar verir. Bazı işleyiciler daha sonra onaylanan veya değiştirilen somut şeye göre daha sıkı onay zamanı kontrolleri uygular. Örnekler:device.pair.approve,operator.pairingile erişilebilir, ancak bir operatör cihazını onaylamak yalnızca çağıranın zaten sahip olduğu kapsamları oluşturabilir veya koruyabilir.node.pair.approve,operator.pairingile erişilebilir, ardından bekleyen düğüm komut listesinden ek onay kapsamları türetir.chat.sendnormalde yazma kapsamlı bir yöntemdir, ancak kalıcı/config setve/config unsetkomut düzeyindeoperator.admingerektirir.
Cihaz eşleştirme onayları
Cihaz eşleştirme kayıtları, onaylanmış rollerin ve kapsamların kalıcı kaynağıdır. Zaten eşleştirilmiş cihazlar sessizce daha geniş erişim almaz: daha geniş rol veya daha geniş kapsamlar isteyen yeniden bağlantılar yeni bir bekleyen yükseltme isteği oluşturur. Bir cihaz isteğini onaylarken:- Operatör rolü olmayan bir istek, operatör belirteci kapsamı onayı gerektirmez.
nodegibi operatör olmayan bir cihaz rolü isteği,device.pair.approveoperator.pairingile erişilebilir olsa bileoperator.admingerektirir.operator.read,operator.write,operator.approvals,operator.pairingveyaoperator.talk.secretsisteği, çağıranın bu kapsamlara ya daoperator.adminkapsamına sahip olmasını gerektirir.operator.administeğioperator.admingerektirir.- Açık kapsamları olmayan bir onarım isteği mevcut operatör
belirteci kapsamlarını devralabilir. Mevcut belirteç yönetici kapsamındaysa onay yine
operator.admingerektirir.
operator.pairing kullanabilse bile operatör olmayan
rolleri onaylamak yalnızca yöneticilere özeldir.
Eşleştirilmiş cihaz belirteci oturumları için, çağıranda
operator.admin yoksa yönetim de kendi kapsamıyla sınırlıdır: yönetici olmayan çağıranlar yalnızca kendi eşleştirme
girdilerini görür, yalnızca kendi bekleyen isteklerini onaylayabilir veya reddedebilir ve yalnızca kendi cihaz girdilerini döndürebilir,
iptal edebilir veya kaldırabilir.
Node eşleştirme onayları
Eskinode.pair.*, Gateway’in sahip olduğu ayrı bir düğüm eşleştirme deposu kullanır. WS düğümleri
role: node ile cihaz eşleştirmeyi kullanır, ancak aynı onay düzeyi sözlüğü
geçerlidir.
node.pair.approve, ek gerekli kapsamları türetmek için bekleyen istek komut listesini kullanır:
- Komutsuz istek:
operator.pairing - Exec olmayan düğüm komutları:
operator.pairing+operator.write system.run,system.run.prepareveyasystem.which:operator.pairing+operator.admin
system.run exec onay politikasının yerini almaz.
Paylaşılan gizli bilgi kimlik doğrulaması
Paylaşılan gateway belirteci/parola kimlik doğrulaması, o Gateway için güvenilen operatör erişimi olarak değerlendirilir. OpenAI uyumlu HTTP yüzeyleri,/tools/invoke ve HTTP oturum geçmişi
uç noktaları, çağıran daha dar beyan edilmiş kapsamlar gönderse bile paylaşılan gizli bilgi bearer kimlik doğrulaması için
normal tam operatör varsayılan kapsam kümesini geri yükler.
Güvenilen proxy kimlik doğrulaması veya özel giriş none gibi kimlik taşıyan modlar,
açıkça beyan edilmiş kapsamları yine de dikkate alabilir. Gerçek güven
sınırı ayrımı için ayrı Gateway’ler kullanın.