OneTimeSecret v0.21.1 版本发布：静态文件支持与密钥轮换机制解析

OneTimeSecret 是一个开源的临时秘密分享服务，它允许用户安全地分享敏感信息（如密码、API密钥等），这些信息会在被查看后自动销毁或在一段时间后过期。该项目的核心价值在于提供了一种安全、临时的信息传输方式，特别适合需要临时共享敏感信息的场景。

关键安全改进：强制密钥检查

在 v0.21.1 版本中，OneTimeSecret 引入了一个重要的安全改进：应用启动时会对全局密钥（site.secret）进行强制检查。如果密钥未设置（即通过 SECRET 环境变量或配置文件中的 site.secret 未定义），应用将立即终止启动并显示错误信息。

这一改变源于安全最佳实践：加密系统的安全性高度依赖于密钥的保密性。没有有效密钥的情况下运行应用会导致：

1. 加密存储的机密信息可能被泄露
2. 数据无法得到适当保护
3. 秘密链接的完整性无法保证

对于特殊情况（如恢复或迁移期间），可以通过设置 ALLOW_NIL_GLOBAL_SECRET=true 临时允许应用在没有全局密钥的情况下运行，但会显示明显的安全警告日志。

密钥轮换机制

新版本引入了密钥轮换支持，这是一个重要的安全增强功能。在实际生产环境中，定期轮换加密密钥是安全最佳实践，可以降低密钥泄露带来的风险。

通过 rotated_secrets 配置项，管理员可以指定一个先前使用的密钥列表。系统会：

1. 使用当前主密钥进行所有新的加密操作
2. 在主密钥解密失败时，按顺序尝试使用轮换密钥列表中的密钥进行解密

这种机制确保了密钥轮换过程中的平滑过渡，同时维护了系统的安全性。管理员应在所有使用旧密钥加密的数据过期或被重新加密后，及时从轮换列表中移除旧密钥。

静态文件服务回归

v0.21.1 版本修复了自 v0.21.0-rc1 以来 Docker 构建中前端 Vue 应用无法正常工作的问题。这是通过重新引入静态文件服务中间件实现的。

静态文件服务中间件（static_files）默认启用，负责为前端 Vue 应用提供静态资源服务。这一功能对于确保用户界面正常运作至关重要。

其他安全增强

新版本还引入了以下安全改进：

1. UTF-8 编码净化器：默认启用的中间件，用于确保请求参数使用正确的 UTF-8 编码，防止编码攻击和畸形输入
2. 应用冻结选项：可选的 freeze_app 配置，用于防止运行时修改中间件栈，增强安全性

配置变更总结

v0.21.1 引入了几个新的实验性配置选项：

1. allow_nil_global_secret：控制是否允许应用在没有全局密钥的情况下运行
2. rotated_secrets：支持密钥轮换的旧密钥列表
3. middleware.static_files：控制静态文件服务的启用状态
4. middleware.utf8_sanitizer：控制 UTF-8 编码净化器的启用状态

这些变更使得 OneTimeSecret 在安全性和可用性方面都有了显著提升，特别是在密钥管理和前端服务方面。管理员应仔细评估这些新功能，并根据自身安全需求进行适当配置。