[Priority: Med] [Security] 设计单租户实例内认证与授权模型

[liujuanjuan1984]

背景

在确认“一个 OpenCode + opencode-a2a-serve 实例对 = 一个 single-tenant trust boundary”之后，认证讨论需要先聚焦单个实例内部的安全模型，而不是把目标设定成“单实例安全多租户”。

当前主干仍使用单个静态 A2A_BEARER_TOKEN 做运行时鉴权，但实例内部还存在更细的能力边界问题：普通 chat、session control、shell、interrupt callback 等高风险接口是否应共享同一权限模型，目前尚未收敛。

复现步骤

1. 查看当前主干认证实现：运行时仍以 A2A_BEARER_TOKEN 为唯一鉴权入口。
2. 查看当前会话控制实现：identity 参与 (identity, contextId) -> session_id 缓存和 session ownership / control 判断。
3. 查看高风险方法：opencode.sessions.shell、interrupt callback 等能力与普通 chat 请求当前没有清晰的分层授权设计。

实际行为

• 实例内只有粗粒度“能访问/不能访问”鉴权。
• 缺少明确的 identity 映射规则与方法级授权边界。
• 认证机制讨论容易与“平台层多实例编排”混在一起。

期望行为

• 在 single-tenant runtime boundary 前提下，先形成单实例内部的认证与授权模型。
• 明确以下问题：
  • 实例访问鉴权采用什么模式：静态 bearer、JWT/OIDC、gateway 透传，还是组合策略。
  • 哪个 claim / 标识映射为运行时 identity。
  • 哪些方法需要更严格授权：普通 invoke、session control、shell、interrupt callback。
  • 静态 bearer 是长期 fallback 还是仅迁移期兼容。

验收标准

• 形成单实例认证与授权目标说明，并与 single-tenant 前提保持一致。
• 明确 identity 映射规则及其对 session ownership / session control 的影响。
• 明确高风险方法的最小授权边界。
• 如需实现改动，再拆分为独立实现 issue。

关联

• Relates to [chore] 评估并重构 opencode-a2a-serve 认证与授权体系 #165

当前代码快照

• git rev-parse HEAD: 2f471cb3bbc951bfb3f7356b49452db65fab280b

[liujuanjuan1984]

基于 #166 的范围，先给出一版偏推荐性的设计提案，供后续取舍讨论。

设计前提

• 一个 OpenCode + opencode-a2a-serve 实例对 = 一个 single-tenant runtime boundary。
• 本 issue 讨论的是单实例内部的认证与授权模型，不以“把单实例升级成安全多租户运行时”为目标。
• 认证目标不是区分 tenant，而是：
  • 识别谁在访问这个单租户实例
  • 约束谁能调用高风险能力
  • 让 identity 与 session ownership / session control 的语义保持稳定

当前现状（需要改进的点）

当前主干运行时鉴权仍是单个静态 A2A_BEARER_TOKEN：

• 访问控制只有“能进 / 不能进”两态
• identity 目前本质上是 bearer token 的哈希派生值
• 高风险方法（如 opencode.sessions.shell）与普通 chat 调用没有明确的授权分层模型

这会带来几个问题：

• token 轮换与 identity 语义耦合，不利于稳定的 session ownership
• 难以表达“同一个实例内不同调用主体的能力边界”
• 容易把“认证方式选择”和“授权模型设计”混为一谈

推荐方向：分层模型，而不是一次性押注某一种凭证形态

建议把实例内安全模型拆成两层：

第一层：Authentication / Principal Resolution

负责回答：调用方是谁？

统一输出一个运行时 principal，至少包含：

• identity
• auth_type
• scopes（可为空）
• display_name（可选）

第二层：Authorization / Capability Policy

负责回答：这个 principal 能做什么？

在 REST / JSON-RPC 入口统一根据 principal 与方法类型做授权判断，而不是把所有能力都交给同一个 token。

推荐的三种运行形态

1. static bearer

适用场景：

• self-host / local / trusted internal
• 单人或少量受信调用方

建议行为：

• 保留静态 bearer 作为低复杂度 fallback
• 但 identity 不再来自 token 哈希，而是固定映射为稳定 principal（例如 instance）

优点：

• 简单
• 对现有自部署体验友好

限制：

• 不适合作为长期唯一方案
• 无法很好表达多调用主体的能力差异

2. direct jwt

适用场景：

• server-to-server
• 平台已有统一签发体系，但实例直接做 token verification

建议行为：

• 服务自身验 JWT
• identity 使用稳定 claim 生成，而不是 token 哈希
• 推荐：identity = jwt:<iss>#<sub>
• 不建议使用 jti / exp / 原始 token 哈希作为 identity

优点：

• 更适合正式接入
• 有能力表达过期、issuer、audience、scope

限制：

• 实例端要承担一部分验签与配置治理复杂度

3. gateway-attested

适用场景：

• 平台化部署
• 实例不直接暴露给最终外部调用方

建议行为：

• 外层 gateway / front-proxy 先完成认证
• 实例只信任 gateway 签发的内部短期 token（例如内部 JWT）
• 实例层消费的仍是 principal + scopes，而不是最终用户原始凭证

优点：

• 更适合平台统一治理
• 实例层职责更单纯

限制：

• 依赖平台基础设施
• 不应阻塞实例层先有独立可用的认证模型

推荐的能力分级

建议至少区分以下能力，而不是让所有入口共享同一授权等级：

• a2a.invoke
• a2a.tasks.read
• a2a.tasks.cancel
• a2a.sessions.read
• a2a.sessions.control
• a2a.interrupt.reply
• a2a.providers.read
• a2a.sessions.shell

其中需要特别强调：

• a2a.sessions.shell 必须视为最高风险能力，不能和普通 chat 同权
• session control 与普通 invoke 也不应默认同权
• 如果 scope 缺失，应默认不放行高风险方法

identity 设计建议

这是本 issue 里最关键的一部分，因为 identity 不只是审计字段，它还影响：

• (identity, contextId) -> session_id 映射
• session ownership / claim / control

因此建议：

static bearer 模式

• identity = instance
• 不再使用 token 哈希做长期 identity

jwt 模式

• identity = jwt:<iss>#<sub>
• 如果 sub 无法稳定表达调用主体，再讨论 client_id / azp
• 但必须保证 identity 在 token refresh / rotation 后仍稳定

明确不建议

• 不使用 jti
• 不使用 exp
• 不使用原始 token 哈希
• 不使用易变化的 display-only 字段作为 identity

推荐的默认授权策略

建议从以下分层开始：

普通自动化调用 token

允许：

• a2a.invoke
• a2a.tasks.read
• a2a.tasks.cancel

运维 / 交互 token

额外允许：

• a2a.sessions.read
• a2a.sessions.control
• a2a.interrupt.reply
• a2a.providers.read

高信任操作员 token

额外允许：

• a2a.sessions.shell

不建议的方向

• 不建议在单实例内引入 tenant_id 语义，容易误导为多租户运行时
• 不建议把目录边界控制设计成 auth claim 驱动的“租户目录授权系统”
• 不建议直接把完整 OAuth login flow 做进实例本身
• 不建议继续沿用“token 哈希 = identity”的做法

推荐的实施顺序

Step 1

先抽象认证层，统一产出 principal：

• identity
• auth_type
• scopes
• display_name（可选）

Step 2

在方法入口增加统一授权策略：

• REST / JSON-RPC 共享 policy
• 对 shell、session control、interrupt reply 做明确分级

Step 3

再决定实例的主认证模式：

• 短期保留 static bearer fallback
• 中期引入 direct jwt
• 平台化场景再考虑 gateway-attested

当前推荐结论

如果现在要先收敛一个默认方向，我的建议是：

• 短期：static bearer + 方法级授权收口
• 中期主方案：direct jwt + stable principal + scope policy
• 长期平台化：gateway-attested

换句话说：
不要把问题简化成“要不要 JWT”；更关键的是先把 principal 模型 和 authorization model 设计正确。

如果这条方向没有大分歧，下一步可以把本 issue 再进一步压缩成一个更明确的设计提纲：

• 目标
• 非目标
• principal 模型
• capability/scope 矩阵
• 推荐配置模式
• 后续拆分 issue

[liujuanjuan1984]

已将当前探索性改动转存到独立分支，作为后续整理 #166 的 WIP 备份：

• branch: wip/issue-166-authz-model
• commit: 1cc79820c742138b022b6c61001bbb42cf4c6377

当前判断：这批改动仍有较大缺口，暂不适合作为可评审实现 PR 推进，后续应先收敛设计边界，再拆独立实现 issue / PR。

为避免继续污染 #181 等已有 PR，本次先将其独立保存，接下来优先处理和消化现有其它 PR。