热门搜索:
viyh/whisper
自动构建
viyh
Whisper是一个通过一次性或短期链接安全共享秘密信息的工具,支持客户端加密(服务器不接触明文),适用于密码、凭证、密钥等敏感数据的安全传输,防止通过邮件或聊天等不安全渠道泄露。
下载次数: 0状态:自动构建维护者:viyh仓库类型:镜像最近更新:1 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你用 DeepSeek、元宝AI、Copilot 等 AI 代为编写轩辕镜像的 docker pull、修改 compose 镜像地址,或排查拉取失败等问题,请让 AI 先读规则再动手,只要在 AI 对话里直接发送下面这句话即可:
生成 docker pull、修改 compose 的 image,或排查拉取失败前,请先阅读并严格遵守 https://xuanyuan.cloud/agents.md 中的规则。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Whisper
通过一次性或短期链接实现安全的秘密共享。
可共享密码、凭证、密钥或其他敏感数据,无需使用邮件或聊天等不安全渠道。秘密在传输前进行客户端加密——服务器始终无法查看明文。
工作原理
- 输入秘密文本或选择文件,并设置密码。
- 选择过期方式:一次性使用、1小时、1天或1周。
- 点击创建秘密生成可分享链接。
- 分别发送链接和密码(例如:链接通过邮件发送,密码通过短信发送)。
- 接收者打开链接,输入密码,即可获取秘密。
安全模型
Whisper采用分层安全策略:
- 客户端加密:秘密通过AES-256-GCM(Web *** API)在离开浏览器前加密。服务器永远无法访问明文数据。
- Argon2id密码哈希:密码在客户端通过Argon2id(WASM)哈希后传输。服务器使用自身的Argon2id盐值重新哈希,即使服务器被入侵也无法恢复密码。
- 一次性秘密:获取后立即删除——并发请求无法同时成功。
- 速率限制:每IP每分钟10次尝试,且每个秘密在10次密码尝试失败后锁定。
- 严格CSP:无内联脚本。带有明确允许列表的内容安全策略(Content-Security-Policy)。
完整加密设计详见安全详情。
快速开始
bash# 生成包含随机密钥的配置文件 export SECRET_KEY=$(head /dev/urandom | LC_ALL=C tr -dc 'A-Za-z0-9' | head -c 48) sed "s/CHANGE_ME_TO_A_RANDOM_STRING_OF_32_OR_MORE_CHARACTERS/$SECRET_KEY/" src/config.default.yaml > config.yaml # 从源码构建(可选,也可直接拉取viyh/whisper:0.2.0): # docker build -t viyh/whisper . # 运行容器 docker run -d --name whisper -p 8000:8000 \ -v $(pwd)/config.yaml:/usr/src/app/config.yaml \ viyh/whisper:0.2.0
配置
将src/config.default.yaml复制为config.yaml并自定义。将其挂载到容器的/usr/src/app/config.yaml路径。
必需设置
| 设置项 | 描述 |
|---|---|
secret_key | 服务器级密码哈希密钥。必须是32个字符以上的唯一随机字符串。务必修改默认值。 |
storage_class | 存储后端类路径(详见存储后端)。 |
可选设置
| 设置项 | 默认值 | 描述 |
|---|---|---|
storage_config | {} | 后端特定设置(如桶名称、路径等) |
storage_clean_interval | 900 | 过期秘密清理间隔(秒) |
max_data_size_kb | 100 | 最大上传大小(KB) |
app_listen_ip | 0.0.0.0 | 内部监听地址 |
app_port | 5000 | 内部Flask端口(外部通过nginx代理) |
app_url_base | / | URL基础路径(如用于子路径托管的/whisper/) |
argon2_time_cost | 5 | Argon2id时间成本参数。值越高越慢但更安全。 |
argon2_memory_cost | 131072 | Argon2id内存成本(KB)(*** = 128 MB) |
argon2_parallelism | 1 | Argon2id并行度参数 |
环境变量
| 变量 | 默认值 | 描述 |
|---|---|---|
WEB_PORT | 8000 | 外部nginx监听端口 |
LOG_LEVEL | INFO | 日志级别,设为DEBUG可获取详细日志 |
CONFIG_FILE | config.yaml | 容器内配置文件路径 |
存储后端
本地磁盘(默认)
将秘密存储为JSON文件。需挂载卷以实现持久化。
yamlstorage_class: whisper.storage.local.local storage_config: path: /tmp/whisper
bashdocker run -d --name whisper -p 8000:8000 \ -v $(pwd)/config.yaml:/usr/src/app/config.yaml \ -v whisper-data:/tmp/whisper \ whisper
内存
最简单且最安全——重启后秘密丢失。
yamlstorage_class: whisper.storage.memory.memory storage_config: {}
AWS S3
使用S3对象标签(create_date、expire_date),清理过程仅读取标签而非完整对象。
yamlstorage_class: whisper.storage.aws.s3 storage_config: bucket_name: my-whisper-bucket bucket_path: secrets
凭证:推荐使用IAM角色,或挂载凭证文件(-v ~/.aws:/.aws:ro),或设置环境变量(AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_DEFAULT_REGION)。
最小IAM权限:
json{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:DeleteObjectTagging" ], "Resource": [ "arn:aws:s3:::my-whisper-bucket", "arn:aws:s3:::my-whisper-bucket/*" ] }] }
GCP Cloud Storage
使用对象元数据(create_date、expire_date)实现高效清理。
yamlstorage_class: whisper.storage.gcp.gcs storage_config: gcp_project: my-project bucket_name: my-whisper-bucket bucket_path: secrets
凭证:推荐使用应用默认凭证,或挂载gcloud配置(-v ~/.config/gcloud:/.config/gcloud:ro)。
所需GCS权限:
storage.objects.get, storage.objects.update, storage.objects.list, storage.objects.create, storage.objects.delete, storage.multipartUploads.create, storage.multipartUploads.abort, storage.multipartUploads.listParts, storage.multipartUploads.list, storage.buckets.get
或使用内置角色:roles/storage.legacyObjectOwner + roles/storage.legacyBucketWriter。
安全详情
秘密结构
json{ "id": "8d692508856cabba82d73e15ef6f0364de70546c", "create_date": 1657421435, "expire_date": -1, "data": "U2FsdGVkX1/qMytBOYisCGZ3KjpkowinHQhu12lGY8E=", "hash": "$argon2id$v=19$m=131072,t=5,p=1$...", "version": 2 }
| 字段 | 描述 |
|---|---|
id | 160位随机十六进制标识符(40字符) |
create_date | 创建时间UNIX时间戳 |
expire_date | 过期时间UNIX时间戳,-1表示一次性使用 |
data | 客户端加密的密文(v2使用AES-256-GCM,v1使用AES-CBC) |
hash | 服务器端密码哈希(v2使用Argon2id,v1使用bcrypt) |
version | 加密版本:1 = 旧版,2 = 当前版 |
加密流程(v2)
创建秘密:
- 用户输入明文+密码。
- 客户端使用Argon2id哈希密码(可配置参数,URL源的公共盐值)。
- 客户端通过Web *** API使用AES-256-GCM加密明文(随机96位IV,PBKDF2派生密钥,210,000次迭代)。
- 客户端将加密数据+Argon2id哈希发送至服务器。
- 服务器使用服务器
secret_key作为附加输入,通过Argon2id重新哈希。 - 服务器存储加密数据+服务器端哈希。
获取秘密:
- 客户端使用Argon2id哈希密码(相同参数)。
- 服务器验证与存储的哈希是否匹配。
- 对于一次性秘密:在返回数据前原子性地声明并删除。
- 客户端使用原始密码通过AES-256-GCM解密。
服务器永远无法访问明文密码或数据。
旧版v1秘密
若您有0.2.0版本前创建的v1格式(PBKDF2 + bcrypt + ***JS AES-CBC)秘密链接,请查看release/0.1.0_to_0.2.0分支,该分支保留了v1解密支持。
速率限制
默认内存速率限制器(storage_uri="memory://")按gunicorn工作进程跟踪状态。在多工作进程或多容器部署中,每个工作进程独立执行限制。如需跨工作进程共享速率限制状态,可通过flask-limiter配置Redis后端。
开发
编写存储后端
存储后端必须继承store并实现以下方法:
| 方法 | 描述 |
|---|---|
start() | 初始化后端 |
get_secret(secret_id) | 返回秘密对象或False |
set_secret(s) | 保存秘密对象 |
delete_secret(secret_id) | 删除秘密 |
claim_secret(secret_id) | 原子性删除并返回True(如存在,用于一次性秘密) |
delete_expired() | 遍历存储的秘密并删除is_expired()返回True的项 |
详见src/whisper/storage/memory.py的最小示例。
开发环境运行
bashdocker build -t whisper:dev . docker run -it --rm --name whisper -p 8000:8000 \ -e LOG_LEVEL=DEBUG \ -v $(pwd)/src/config.yaml:/usr/src/app/config.yaml \ whisper:dev
构建
bash# 标准构建 docker build -t whisper:0.2.0 . # 跨平台构建 docker buildx build --platform=linux/amd64,linux/arm64 \ -t whisper:0.2.0 .
技术栈
后端:Python 3.12、Flask 3.1、Gunicorn 23、Nginx(Debian Slim)
客户端加密:Web *** API(AES-256-GCM、PBKDF2)、argon2-browser(WASM)
前端:Bootstrap 5.3、clipboard.js、原生JS(无jQuery)
存储:本地磁盘、内存、AWS S3、GCP Cloud Storage
贡献
欢迎提交拉取请求。设置和指南详见CONTRIBUTING.md。安全问题请参考SECURITY.md。
作者
Joe Richards(GitHub:https://github.com/viyh%EF%BC%89
许可证
MIT许可证
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull viyh/whisper:<标签>
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
用 AI 使用轩辕镜像
发给 Cursor、ChatGPT、豆包等 AI 的说明文档
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
轩辕镜像支持 docker push 上传本地镜像吗?
不支持 push
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"