OpenBao中LIST和SCAN操作的路径访问控制优化

背景与问题分析

在现代密钥管理系统OpenBao中，LIST和SCAN操作是用户浏览存储内容的重要接口。然而，当前实现存在一个显著的安全性问题：当用户被授予父路径的list权限时，即使没有子路径的读取权限，也能看到完整的列表结果。这种设计可能导致信息泄露，特别是在多租户环境中。

技术方案设计

OpenBao团队提出了一种创新的解决方案：通过ACL策略新增list_scan_response_keys_filter_path参数，实现对列表结果的精细化过滤。该方案的核心思想是：

1. 策略级控制：允许管理员在ACL策略中指定过滤模板路径
2. 动态评估：对每个列表结果项进行权限校验
3. 性能优化：建议与分页参数配合使用，避免全量评估

实现细节

过滤机制工作原理

当策略中设置了list_scan_response_keys_filter_path参数时，系统会：

1. 解析列表返回的每个key
2. 将key代入模板路径生成目标路径
3. 模拟检查token对该路径的read/list权限
4. 仅保留通过检查的结果项

权限判定规则

• 以"/"结尾的路径：需要list权限
• 普通路径：需要read权限

应用场景示例

考虑一个多租户的密钥存储场景：

path "tenant-a/data" {
  capabilities = ["list"]
  list_scan_response_keys_filter_path = "tenant-a/data/{{ .key }}"
}

path "tenant-a/data/app1/*" {
  capabilities = ["read"]
}

在此配置下，用户只能看到tenant-a/data/app1/下的密钥列表，而无法看到其他租户的数据。

技术挑战与解决方案

分页交互问题

当结合分页功能时，可能出现因过滤导致空页面的情况。解决方案包括：

1. 内部迭代直到获取有效结果
2. 设置递归深度限制
3. 不影响配额和审计记录

性能考量

由于需要逐项检查权限，建议：

1. 强制使用分页参数
2. 限制最大返回数量
3. 缓存权限检查结果

安全增强效果

该方案显著提升了系统的安全性：

1. 实现最小权限原则
2. 防止信息泄露
3. 保持向后兼容
4. 支持细粒度控制

未来演进方向

1. 支持多路径组合过滤
2. 增强模板功能
3. 优化分页交互体验
4. 考虑存储层集成

这项改进使OpenBao在多租户场景下的安全性达到新的水平，同时保持了系统的灵活性和性能表现。