安全边界

来源限制

生产环境设置 WFM_PUBLIC_ORIGIN 后，系统会拒绝非主 Host 请求。浏览器请求带 Origin 时，Origin 也必须在允许来源中。

开发测试模式 WFM_ENABLE_DEV_TEST_API=true 会跳过来源限制。生产环境不要开启。

管理员密码

管理员密码只属于当前部署：

• 不进入快照。
• 不通过 MCP 输入。
• 恢复快照不会覆盖管理员密码。

MCP

MCP 安全边界：

• token 分 read/write。
• 写操作必须确认。
• 调用会写审计。
• 不提供快照创建、导入、恢复和删除。
• 不接收快照密码。
• 下载类能力只返回短期 URL，不传输文件内容。

下载 token

下载 token 只允许下载一个绑定文件或一个绑定端点配置，默认 5 分钟过期。

MQTT

后端是 MQTT 用户和授权的事实来源。EMQX 在线时同步，离线时数据先落库。

端点重置客户端会同步撤销 MQTT 用户并尝试断开连接。

快照

快照通过管理员密码加密。除管理员密码外，应用级数据都进入快照。