Skip to content

SPIFFE 协议中文版

本专区收录 SPIFFE 官方标准规范的中文译本,面向中文工程师与架构师。规范原文托管于 spiffe/spiffe 仓库。

⚠️ 译本仅供学习参考。规范性判定请以英文原文为准;每页顶部均附原文链接。

规范地图

SPIFFE 的标准由若干相互衔接的文档组成,建议按下面的顺序阅读:

顺序规范一句话说明
1SPIFFE 概述整套框架的目标、核心概念与文档导航
2SPIFFE ID(身份标识)身份的命名规则:spiffe://<信任域>/<路径>
3X.509-SVID以 X.509 证书为载体的身份文档及其约束
4JWT-SVID以 JWT 为载体的身份文档及其校验
5信任域与证书包信任根的表达:trust domain 与 trust bundle
6工作负载 API工作负载获取 SVID 与信任包的标准接口
7工作负载端点工作负载 API 的暴露与发现方式
8联邦(Federation)不同信任域之间如何交换信任、互相认证

核心概念速览

  • 信任域(Trust Domain):一个独立的信任根,对应一套 CA / 密钥。类似"身份的国界"。
  • SPIFFE ID:形如 spiffe://example.org/ns/prod/sa/web 的 URI,唯一标识一个工作负载。
  • SVID(SPIFFE Verifiable Identity Document):身份的物理载体,分 X.509 与 JWT 两种形态,可加密验证。
  • 工作负载 API(Workload API):工作负载通过本地端点(通常是 Unix 套接字)获取并自动轮换自己的 SVID,无需硬编码任何密钥
  • 联邦(Federation):两个信任域交换各自的 trust bundle(公钥),从而让一个域的工作负载能验证另一个域的身份。

相关工程实践

读完规范,推荐继续了解这些标准在 SPIRE 里是如何实现的:

内容基于 SPIFFE/SPIRE 官方开源资料整理与翻译,仅供学习交流;商标与版权归各自所有者。SPIFFE 与 SPIRE 是 CNCF 项目。