当前位置：首页 > article >正文

https://github.com/langgenius/dify查看设置的apikey

article 2026/5/15 19:34:38

现在我已经掌握了足够的信息来做一个完整清晰的分析。好的现在我来给出一个完整的分析。Difyprovider_model_credentials.encrypted_config解密分析整体加密架构Dify 使用 PKCS1_OAEP 加密来保护 API key。每个用户tenant都有一个唯一的密钥对确保 API key 的机密性。实际上从源码看Dify 用的是混合加密RSA AES下面是完整的加解密流程图### 核心源码解读加密逻辑api/libs/rsa.pyprefix_hybridbHYBRID:defencrypt(text:str,public_key:...)-bytes:aes_keyget_random_bytes(16)# 随机生成 AES-128 Keycipher_aesAES.new(aes_key,AES.MODE_EAX)ciphertext,tagcipher_aes.encrypt_and_digest(text.encode())# AES 加密明文cipher_rsagmpy2_pkcs10aep_cipher.new(rsa_key)enc_aes_keycipher_rsa.encrypt(aes_key)# RSA-OAEP 加密 AES Key# 拼接成最终密文returnprefix_hybridenc_aes_keycipher_aes.noncetagciphertext所以encrypted_config字段的字节结构为HYBRID: | enc_aes_key(256B) | nonce(16B) | tag(16B) | ciphertext(变长)解密逻辑api/core/provider_manager.py解密时系统通过encrypter.get_decrypt_decoding(tenant_id)获取租户的 RSA 私钥再调用encrypter.decrypt_token_with_decoding对provider_model_credentials中各字段的加密值进行解密。如何手动查看 API Key你需要同时具备两个东西1. 从数据库取出密文-- 找到目标记录SELECTid,tenant_id,model_name,encrypted_configFROMprovider_model_credentialsWHEREprovider_nameopenai;2. 取出对应租户的 RSA 私钥私钥存储位置取决于你的文件存储配置STORAGE_TYPE路径为privkeys/{tenant_id}/private.pem本地部署默认在api/storage/privkeys/{tenant_id}/private.pemS3/OSS 等在对应的 Bucket 中3. 用 Python 脚本解密fromCrypto.PublicKeyimportRSAfromCrypto.CipherimportAESimportbase64 prefixbHYBRID:defdecrypt_api_key(encrypted_hex_or_bytes:bytes,private_key_pem:bytes)-str:# 1. 去掉前缀dataencrypted_hex_or_bytesifdata.startswith(prefix):datadata[len(prefix):]# 2. 加载私钥rsa_keyRSA.import_key(private_key_pem)key_sizersa_key.size_in_bytes()# 256 bytes for RSA-2048# 3. 拆分各部分enc_aes_keydata[:key_size]noncedata[key_size:key_size16]tagdata[key_size16:key_size32]ciphertextdata[key_size32:]# 4. RSA-OAEP 解密 AES Keyfromlibsimportgmpy2_pkcs10aep_cipher# Dify 的 OAEP 实现cipher_rsagmpy2_pkcs10aep_cipher.new(rsa_key)aes_keycipher_rsa.decrypt(enc_aes_key)# 5. AES-EAX 解密明文cipher_aesAES.new(aes_key,AES.MODE_EAX,noncenonce)plaintextcipher_aes.decrypt_and_verify(ciphertext,tag)returnplaintext.decode()# 使用withopen(private.pem,rb)asf:pemf.read()# encrypted_config 字段值bytesapi_keydecrypt_api_key(encrypted_config_bytes,pem)print(api_key)注意事项关键点说明每个 tenant 独立密钥私钥按tenant_id分目录存放不同租户不能互解encrypted_config的格式provider_model_credentials表里存的是 JSON 序列化后的字段级加密每个敏感字段单独加密不是整条记录加密SECRET_KEY环境变量用于 AES-256 加密第三方 OAuth 凭证与 model credentials 是不同的加密路径不要直接改密钥替换 RSA 私钥后已存储的所有encrypted_config都将无法解密简单来说encrypted_config是 RSAAES 混合加密的密文解密必须持有对应tenant_id的 RSA 私钥文件这个文件在你的文件存储后端本地磁盘或对象存储中而不在数据库里。

https://github.com/langgenius/dify查看设置的apikey

相关文章：

https://github.com/langgenius/dify查看设置的apikey

AI LED调光控制器智能功率 MOSFET 完整选型方案

Windows 系统安装阶段快速创建本地账户操作说明

对比直接采购，使用聚合平台在模型选型上带来的灵活性体验

掌握CRC32校验码：从基础计算到高级逆向操作的完整指南

懒人必备！OpenClaw 汉化版一键配置上手教程

Eviews面板数据建模保姆级教程：从Hausman检验到模型选择，一次讲透固定效应与随机效应

别再乱用二值信号量了！FreeRTOS互斥量与递归互斥量实战避坑指南

为什么92%的AI音频项目在ElevenLabs声音库选型阶段就失败？——资深AI音频架构师12年踩坑复盘

基于Taotoken构建每日大赛自动评分与反馈Agent工作流

OpenRGB终极指南：一站式免费控制所有RGB设备的完整解决方案

Timer 时序大模型云服务来了！TimechoAI 开放邀请体验

3分钟掌握TestDisk：开源数据恢复终极解决方案

SpringBatch学习

终极免费风扇控制软件：如何让你的电脑既安静又凉爽

打磨与展望：RAG 的进阶技巧与避坑指南

Netflix 4K画质与杜比音效优化指南：解锁你的流媒体最佳体验

教育机构搭建AI辅助教学系统时如何通过Taotoken统一接口

除了卸载浏览器，ADB还能帮你清理哪些OPPO手机预装软件？附完整包名清单

思源宋体CN：零成本打造专业中文排版的终极秘籍

基于Python与Telegram API构建消息抓取与备份工具实践

PCB线宽与电流关系详解：从原理到设计避坑指南

C#中使用MiniExcel 快速入门：读写 .xlsx 文件

设计工程化实践：将设计思维转化为开发者技能的工具探索

Spring Boot安全脚手架实战：快速集成认证授权与API防护

基于SpringBoot+Vue的CRM客户管理系统毕设

DevChat：无缝集成IDE的开源AI编程助手，提升开发效率

AI驱动的工业预测性维护技术实践：AI驱动的预测性维护系统通过多传感器融合（振动、温度、电流等）实时监测设备健康状态，结合TSN网络实现毫秒级数据传输

Boss-Key：Windows下一键隐藏窗口的终极隐私保护工具

4. 大型场馆大空间挡烟垂壁选型与布设