2026-06-18 · architecture / security
【Agent 身份与安全】Agent 身份谱系:从 API Key 到委托 Token
四代 Agent 身份模型:API Key、OAuth 用户 token、Service Account、RFC 8693 Token Exchange 委托链。拆解 subject_token、actor_token、act claim,以及与 JWT/JWKS 系列的交叉引用。



























当 LLM Agent 代表用户调用 API、读写邮件、执行 SQL
时,「用户登录 → 拿 token → 调 API」的传统 OAuth
模型不够用。Agent
需要委托链(谁授权、授权什么、能否撤销)、工具级粒度(不是
read:mail 而是「只能读 inbox
下某文件夹」)、以及可归因的审计(哪个用户委托的哪个
Agent 读了哪条记录)。
本系列是 身份与访问控制工程 与 零信任架构 的自然延伸,不是 Prompt 工程或 Agent 框架选型教程(后者见 LLM 基础设施)。与 zero-trust/18-zero-trust-emerging 的前瞻入口相对,本系列做系统展开。
系列状态:已完成(2026-06-18)。10 篇全部可读。
版本纪律:OAuth 2.1、MCP Specification(2025-03-26)、OpenID CAEP/SSE 等草案结论均标注 截至 2026-06 的 draft 状态。
续作关联:IAM 工程(人与服务身份)、零信任(边界与持续验证)、LLM 基础设施(Agent 框架与 MCP 工程)。
act claim、细粒度
scope)flowchart TD
A["01 索引"] --> B["02 Agent 身份"]
B --> C["03 Scope / UMA"]
C --> D["04 Function Calling 授权"]
C --> E["05 Human-in-the-Loop"]
B --> F["06 MCP 架构"]
F --> G["07 MCP 供应链"]
G --> H["08 持续验证"]
H --> I["09 审计日志"]
I --> J["10 落地架构"]
| 读者 | 路径 |
|---|---|
| IAM 工程师转 Agent 安全 | 01 → 02 → 03 → 08 → 09 |
| MCP 应用开发者 | 01 → 06 → 07 → 04 |
| 架构师 | 01 → 02 → 05 → 10 |
| 完整通读 | 01 → … → 10 |
Agent
身份谱系:从 API Key 到委托 Token RFC 8693
Token
Exchange、subject_token/actor_token/act
claim、四代模型威胁与迁移;与 JWT/JWKS
交叉引用。
细粒度 Scope 与 UMA 2.0 启示 从 coarse scope 到 resource-specific consent;UMA Permission Ticket 是否适用于 Agent;与 策略引擎 组合。
Function Calling 的授权模型 Tool schema 攻击面、OPA/Cedar 在 tool 层、SQL Agent 只读角色与 RLS 边界。
人机协同授权:Human-in-the-Loop 高风险 step-up、同步确认 vs 异步审批、Agent 状态机;衔接 自适应认证。
MCP 架构与安全基线 MCP spec 2025-03-26 三角模型、stdio vs Streamable HTTP、OAuth 2.1 for MCP 草案边界。
MCP Server 隔离与供应链 多 Server secret 隔离、tool description 注入;联动 零信任供应链。
Agent 会话的持续验证与撤销 CAEP/SSE 草案意图、短 TTL、Agent 缓存 PII;对照 会话吊销。
Agent 审计日志与归因 最小审计字段、OpenTelemetry span;联动 PAM/IGA 审计。
落地架构与案例框架 IdP + OPA + Agent Gateway + MCP Host;Keycloak/Envoy 能力边界;迁移路径。
| 系列 | 本系列承接的话题 |
|---|---|
| iam | 02 SSO、06 JWT、07 会话吊销、09 自适应、13 策略引擎、19 审计 |
| zero-trust | 06 持续验证、11 数据安全、13 供应链、18 新兴威胁 |
| llm-infra | Agent 框架、MCP 工程实现 |
| observability | 09 OTel span 建模 |
前置背景(可选):
| 话题 | 状态 | 工程建议 |
|---|---|---|
| OAuth 2.1 for MCP | 草案演进中 | 跟 spec 版本 pin,不赌最终字段名 |
| OpenID CAEP/SSE | 草案 | 短 TTL 为基线;CAEP 作增强 |
| Token Exchange 普及度 | RFC 8693 已发布;IdP 支持不一 | Agent Gateway 聚合 |
| tool 级 ABAC | 无单一标准 | OPA/Cedar 自建 |
承诺:草案标注状态;threat model 区分已发生案例与理论风险;协议机制配序列图;不编造 IdP 响应。
不承诺:Prompt injection 全文;具体 LLM 对齐;替企业做法务认定。
| 状态 | 篇目 |
|---|---|
| 已发布 | 01(本页)– 10(全系列) |
系列 index v3,2026-06-18 — 全 10 篇已发布
把当前热点继续串成多页阅读,而不是停在单篇消费。
2026-06-18 · architecture / security
四代 Agent 身份模型:API Key、OAuth 用户 token、Service Account、RFC 8693 Token Exchange 委托链。拆解 subject_token、actor_token、act claim,以及与 JWT/JWKS 系列的交叉引用。
2026-06-18 · architecture / security
Model Context Protocol 的 Host/Client/Server 三角、stdio 与 Streamable HTTP Transport 安全差异、OAuth 2.1 for MCP 草案边界,以及多 Server secret 隔离与 tool 攻击面。
2026-06-18 · architecture / security
从 coarse scope 到 resource-specific consent:UMA 2.0 Permission Ticket 模型、Google incremental auth 对照,以及 Agent 场景下的动态授权边界。
2026-06-18 · architecture / security
Tool schema 暴露面、允许列表 vs OPA/Cedar 策略引擎、SQL Agent 的 statement class 与 RLS 边界,以及 Host 层 tool 调用拦截架构。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。