Saltar para o conteúdo principal
Uma credencial que você consegue ler de uma tela é uma credencial que você consegue vazar. Uma vez que você copiou uma nova chave, você quase nunca precisa de seu plaintext novamente — você precisa reconhecê-la: qual chave é esta, em qual ambiente, é a que o agente com falha usa. O console do OrcaRouter responde isso sem nunca reimprimir um segredo funcional: cada chave é renderizada em uma forma mascarada que mantém apenas caracteres suficientes para identificá-la e esconde o resto. Esta página cobre como a forma mascarada se parece, quando o plaintext é e não é mostrado, e como mascarar valores de chave de api com segurança nos seus próprios logs e ferramentas.

1. Por que mascarar valores de chave de api na exibição

A chave completa é uma credencial ao portador: qualquer um que a lê pode chamar o gateway como você, até os limites daquela chave. Visões de console são copiadas para screenshots, screen-shares, tickets de suporte e relatórios de bug constantemente — então mostrar o segredo ao vivo em uma lista de chaves transformaria cada um desses em um vazamento de credencial. O mascaramento resolve isso separando duas necessidades que geralmente são confundidas:
  • Identificaçãoqual chave é esta? Respondido por uma impressão digital mascarada e estável que você consegue ler de relance.
  • Usoqual é o segredo? Respondido exatamente uma vez na criação, e atrás de uma revelação deliberada e controlada por papel depois disso.
O console satisfaz a primeira necessidade em todo lugar e controla a segunda, de modo que a superfície padrão — a lista de chaves que você encara o dia todo — nunca carrega um segredo utilizável.
Uma chave mascarada não é uma credencial funcional. Ela não pode autenticar uma requisição. Apenas o plaintext completo (sk-orca-…) que você copiou na criação, ou re-revelado através do endpoint controlado, pode chamar o gateway.

2. Como a forma mascarada se parece

O console mostra o prefixo de marca da chave, depois uma sequência fixa de asteriscos, depois os últimos quatro caracteres — o suficiente para diferenciar duas chaves, não o suficiente para reconstruir nenhuma.
Você criouO console mostra
sk-orca-9f3aK2…long…7Qm4sk-orca-9f3****7Qm4
O primeiro segmento mantém o prefixo sk-orca- e alguns caracteres iniciais; os quatro caracteres finais são a cauda que você reconhecerá quando fizer referência cruzada a uma linha de log ou a um erro. Tudo no meio é colapsado em uma máscara fixa — a sequência de asteriscos é uma constante, então sua largura nunca revela o comprimento real da chave.
Combine a cauda mascarada com o rótulo environment e o nome da chave quando você precisar encontrar uma chave específica rápido — a cauda de quatro caracteres mais uma tag prod / staging quase sempre é suficiente para escolher a certa de uma lista sem nunca revelar o plaintext.

3. Quando o plaintext é mostrado — e quando não é

Há exatamente um momento em que a chave completa é sua para copiar, e um único caminho controlado para recuperá-la novamente.
Quando você cunha uma chave, o console exibe o plaintext sk-orca-… completo uma vez. Copie-o para seu gerenciador de segredos então. Cada visão subsequente daquela chave — a lista, o painel de detalhe, resultados de busca — mostra apenas a forma mascarada.
Você pode re-revelar o plaintext de uma chave comum sob demanda, mas é uma ação deliberada atrás do papel Developer+ — não algo que a lista padrão jamais expõe. Re-revelar uma chave com escopo de gateway (is_firewall_gateway) exige o papel Admin (ou Owner), porque esse token pode ler credenciais de servidor MCP registrado.
Listar chaves, abrir o detalhe de uma chave, buscar e cada leitura do objeto token retornam a forma mascarada. O plaintext nunca é incluído em uma resposta de lista ou de busca.
Como a re-revelação é controlada e uma chave com escopo de gateway precisa de Admin para ser lida novamente, trate a cópia em tempo de criação como sua única captura confiável. Salve-a no seu gerenciador de segredos imediatamente. Se você perder o plaintext de uma chave comum, você pode re-revelá-lo (Developer+); se você não pode revelá-lo e não pode recuperá-lo, rotacione para uma chave nova em vez de contornar uma chave que você não consegue mais ler.

4. Um exemplo concreto: identificando a chave vazada

Digamos que um alerta dispara — uma chave está fazendo chamadas de um IP inesperado — e a linha de log carrega a cauda mascarada …7Qm4. Você não precisa do plaintext para agir:
  1. Abra a lista Keys do console (/console/token). Cada linha mostra sua impressão digital mascarada — sk-orca-9f3****7Qm4 e seu rótulo environment.
  2. Corresponda a cauda …7Qm4 (e a tag prod) à linha ofensora. A forma mascarada é precisamente o identificador que você precisa aqui — nenhum segredo é exposto na lista, no alerta ou no seu screenshot dele.
  3. Desabilite essa chave para pausá-la, ou delete-a para revogar de vez — ambas são ações seguras-para-mascaramento que nunca imprimem o plaintext. Veja Gerenciar chaves e Resposta a chave vazada.
Toda a triagem roda na impressão digital mascarada. O plaintext fica no seu gerenciador de segredos onde pertence.

5. Mascaramento nos seus próprios logs e ferramentas

O gateway mascara suas próprias superfícies; você controla o seu lado. O mesmo princípio se aplica a qualquer lugar onde uma chave possa cair na sua stack:
  • Nunca registre o header Authorization ou o valor sk-orca-… bruto. Se você precisar registrar qual chave fez uma chamada, registre a mesma forma que o console usa — o prefixo e os últimos quatro caracteres — não o segredo completo.
  • Armazene o plaintext apenas em um gerenciador de segredos, nunca em controle de versão, logs de CI ou um arquivo de config commitado em um repo. A chave é mascarada no console precisamente para que seus próprios sistemas sejam o único lugar onde o segredo ao vivo vive.
  • Escope chaves estreitamente para que mesmo uma credencial vazada tenha um raio de explosão limitado — um modelo, um intervalo de IP, um limite de gasto. Veja a Checklist de menor agência.
O mascaramento reduz a exposição de exibição; ele não reduz o poder de uma chave que de fato vaza. Uma impressão digital mascarada em um log é segura, mas a chave ao vivo em um gerenciador de segredos ainda autentica plenamente — o que é por que escopo estreito e rotação rápida importam tanto quanto o mascaramento.

6. Como isso se encaixa no resto da higiene de chaves

O mascaramento é uma camada de uma postura de defesa em profundidade para credenciais:

Gerenciar chaves

Crie, desabilite e revogue chaves — o ciclo de vida por trás de cada linha mascarada na lista.

O objeto token

Cada campo que uma chave carrega, incluindo os limites que limitam o raio de explosão de uma chave vazada.

Rotação de chave

A transição sem downtime para uma chave nova quando você não pode recuperar ou confiar em uma antiga.

Resposta a chave vazada

O que fazer no momento em que você suspeita que uma credencial está exposta.
Para o quadro maior de como chaves, políticas e workspaces se aninham para dar a cada agente a identidade mais estreita, veja Escopo & chaves. A regra é simples: o console mostra o suficiente para reconhecer uma chave e nunca o suficiente para vazar uma. Mantenha o plaintext no seu gerenciador de segredos, apoie-se na impressão digital mascarada em todo o resto, e rotacione no momento em que a identidade de uma chave está em dúvida.