别再把密码塞进配置文件了：聊聊从开发到生产的凭证管理，以及 SPIFFE / SPIRE 和短期凭证这条路

我先说一句可能得罪人的话：

90% 的系统安全事故，本质不是黑客太牛，而是我们自己把钥匙放门口了。

你回头看看你现在的系统：

• .env 里是不是还有数据库密码？
• K8s Secret 是不是一创建就“永久有效”？
• CI/CD 里是不是有个“万能 token”，三年没换？

这些东西在开发阶段还能忍，
一旦进了生产，就是定时炸弹。

今天这篇文章，我想跟你聊一个现实问题：

从开发到生产，凭证到底该怎么管？

以及——
SPIFFE / SPIRE + 短期凭证，为什么是当前我最认可的一条路。

一、我们先把“凭证”这件事说清楚

很多人一提凭证，第一反应就是：

• 用户名 / 密码
• Access Key / Secret Key
• Token

但在运维和云原生世界里，我更愿意把它翻译成一句话：

“你凭什么证明你是你？”

这件事有三个核心维度：

1. 身份是谁（Identity）
2. 怎么证明（Credential）
3. 证明多久有效（Lifetime）

而传统系统，基本全错。

二、传统凭证管理，到底烂在哪？

我们一条一条说。

1️⃣ 凭证是“静态的”

DB_USER=root
DB_PASSWORD=123456

这类凭证的特点：

• 创建一次
• 用一年甚至三年
• 泄露一次，终身社死

它不失效，本身就是最大的问题。

2️⃣ 凭证和“机器 / 人”强绑定

• 一个数据库账号，几十个服务用
• 一个 token，开发 / 测试 / 生产通用

结果就是：

一处泄露，全线沦陷

3️⃣ 凭证没有“上下文”

你根本不知道：

• 是谁在用
• 在什么环境用
• 用来干什么

安全审计一问三不知。

三、SPIFFE 是干嘛的？一句话讲透

先说结论：

SPIFFE 不是“新密码系统”，而是“身份系统”。

SPIFFE 做了一件很重要的事：

👉 把“身份”从“人 / 配置文件”，提升到“工作负载（Workload）”

也就是说：

• 不关心你是不是 Pod
• 不关心你是不是 VM
• 不关心你是不是容器

我只关心：这个工作负载是谁？

它用一个统一的东西表示身份：

spiffe://example.org/ns/prod/sa/payment-service

这玩意叫 SPIFFE ID。

关键点来了：

SPIFFE ID ≠ 凭证
SPIFFE ID = 身份本身

四、SPIRE：SPIFFE 的“落地执行者”

SPIFFE 是标准，
SPIRE 是实现。

它分两部分：

• SPIRE Server：发身份证的
• SPIRE Agent：帮工作负载领证的

整个流程像这样：

1. Agent 启动
2. Agent 向 Server 证明“我在哪跑”
3. Server 校验通过
4. 下发 短期 X.509 证书 或 JWT
5. 证书自动轮换

你作为应用开发者：

👉 不需要写一行“鉴权代码”

五、短期凭证：这是关键中的关键

我个人非常激进地认为：

长期凭证 = 安全债务
短期凭证 = 唯一出路

SPIRE 默认下发的证书：

• 有效期 5 分钟 / 10 分钟
• 自动轮换
• 泄露价值极低

这直接解决了三个痛点：

1. 不用人工轮换
2. 泄露窗口极小
3. 攻击成本极高

你甚至可以做到：

攻击者刚拿到证书，它已经快过期了。

六、来看个“接地气”的例子

场景：服务 A 调用服务 B

以前你可能这么干：

A -> B
Header: Authorization: Bearer xxx-token

问题一堆：

• token 静态
• 谁都能复制
• 没身份上下文

用 SPIFFE + mTLS 后

A -> B
TLS Handshake
  Client Cert: spiffe://example.org/ns/prod/sa/service-a
  Server Cert: spiffe://example.org/ns/prod/sa/service-b

B 可以直接判断：

“你是不是 prod 环境的 service-a？”

不看 IP，不看 token，只看身份。

七、再看一个更狠的：数据库访问

你可以做到：

1. 应用启动
2. SPIRE 下发短期证书
3. Vault 根据 SPIFFE ID 动态生成 DB 凭证
4. DB 凭证 10 分钟过期

代码层面，应用只管连：

conn = psycopg2.connect(
    host="db.internal",
    sslcert="/run/spire/cert.pem",
    sslkey="/run/spire/key.pem"
)

应用里没有任何密码。

这一步我第一次在生产跑通的时候，说实话：

有点感动
因为这是我第一次“不怕代码仓库被脱库”

八、SPIFFE / SPIRE 不是银弹，它也有代价

我必须说实话。

它的成本包括：

• 学习成本高
• 心智模型转变大
• 和老系统集成麻烦

尤其是这点：

“不是所有系统都准备好接受‘无密码世界’”

但你要明白一件事：

不是 SPIFFE 太复杂，是我们以前的安全方式太原始。

九、我自己的态度

最后说点个人观点。

我现在对凭证管理的底线只有一句话：

任何不能自动轮换的凭证，都是事故候选人。

SPIFFE / SPIRE + 短期凭证，不一定适合所有团队，
但它至少给了我们一个方向：

• 身份是动态的
• 凭证是短命的
• 安全是“默认存在”的，而不是靠自觉

写在最后

如果你现在还在：

• 用长期 AK
• 把 Secret 当保险箱
• 靠流程而不是机制保障安全

那我真心建议你：

👉 至少了解一次 SPIFFE / SPIRE

哪怕不用，
你也会重新审视“凭证”这件事。