词元之母TOK.MOM - 平台充值汇率 1:1 即 1 人民币充值到账 1 美元,支持一个 Key 调用近 600+ 海内外模型,限时特价模型低至 1 折,欢迎上岸!
Bitwarden Secrets Manager
~/.hermes/.env 中。一个引导密钥(机器账户访问令牌)替代了 N 个提供商密钥,轮换凭据只需在 Bitwarden Web 应用中修改一次即可。工作原理
1.
2.
BWS_ACCESS_TOKEN 的形式存储在 ~/.hermes/.env 中。3.
hermes(或 gateway,或 cron 任务)启动时,在加载 ~/.hermes/.env 之后,Hermes 会调用 bws secret list <project_id> 并将返回的密钥写入 os.environ。4.
.env 优先,可在配置中将 override_existing: false。bws 二进制文件在首次使用时会自动下载到 ~/.hermes/bin/,无需 apt、brew 或 sudo。为什么使用机器账户(以及为什么没有双因素认证提示)
.env 中(而非 config.yaml),如果泄露,请立即在 Bitwarden Web 应用中吊销并重新生成。设置
1. 创建机器账户和访问令牌
1.
2.
3.
OPENROUTER_API_KEY、ANTHROPIC_API_KEY 等。4.
5.
0. 开头)。Bitwarden 无法再次检索该令牌——请妥善保存副本。2. 运行向导
1.
bws v2.0.0,存放至 ~/.hermes/bin/bws。2.
BWS_ACCESS_TOKEN 形式存储在 ~/.hermes/.env 中。3.
secrets.bitwarden.server_url 形式存储在 config.yaml 中,并作为 BWS_SERVER_URL 传递给 bws。4.
secrets.bitwarden.project_id 形式存储在 config.yaml 中。5.
6.
secrets.bitwarden.enabled 设置为 true。3. 确认
hermes 都会在启动时拉取最新 secret。进程中首次应用 secret 时,stderr 会显示一行摘要信息。CLI
| 命令 | 功能 |
|---|---|
hermes secrets bitwarden setup | 交互式向导(安装二进制文件、提示输入令牌、选择项目、测试拉取) |
hermes secrets bitwarden status | 显示配置、二进制版本及令牌是否存在 |
hermes secrets bitwarden sync | 演习模式:立即拉取 secret 并显示将应用的内容 |
hermes secrets bitwarden sync --apply | 拉取并导出到当前 shell 的环境中 |
hermes secrets bitwarden install | 仅下载固定版本的 bws 二进制文件(无需认证) |
hermes secrets bitwarden disable | 将 enabled 设为 false;保留令牌和项目 ID |
配置
~/.hermes/config.yaml 中的默认值:| 键 | 默认值 | 功能 |
|---|---|---|
enabled | false | 主开关。为 false 时,永不联系 Bitwarden。 |
access_token_env | BWS_ACCESS_TOKEN | 存储引导令牌的环境变量名。如果你已将 BWS_ACCESS_TOKEN 用于其他用途,可修改此项。 |
project_id | "" | 要同步的项目 UUID。 |
server_url | "" | Bitwarden 区域或自托管端点。为空时使用 bws 默认值(US Cloud,https://vault.bitwarden.com)。欧盟云设为 https://vault.bitwarden.eu,自托管则填写自己的 URL。以 BWS_SERVER_URL 形式传递给 bws 子进程。 |
cache_ttl_seconds | 300 | 进程内拉取结果的复用时长。设为 0 可禁用缓存。缓存按进程隔离;新的 hermes 调用从头开始。 |
override_existing | true | 为 true 时,Bitwarden 的值会覆盖环境中已有的任何值(使 Web 应用中的轮换真正生效)。如果希望本地 .env / shell 导出优先,设为 false。 |
auto_install | true | 为 true 时,首次使用时自动将 bws 下载到 ~/.hermes/bin/。 |
故障模式
.env 中已有的凭据:| 现象 | 原因 | 修复方法 |
|---|---|---|
BWS_ACCESS_TOKEN is not set | 配置中已启用,但令牌已从 .env 中清除 | 重新运行 hermes secrets bitwarden setup |
bws exited 1: invalid access token | 令牌已吊销或有误 | 生成新令牌,重新运行 setup |
[400 Bad Request] {"error":"invalid_client"} | 令牌所属的 Bitwarden 区域与 bws 调用的区域不匹配(例如欧盟令牌访问了美国 identity 端点) | 重新运行 setup 并选择正确区域,或将 secrets.bitwarden.server_url 设为 https://vault.bitwarden.eu(或自托管 URL) |
bws timed out | 网络受阻或 Bitwarden API 响应缓慢 | 检查到 api.bitwarden.com(或你的 server_url)的连通性 |
bws binary not available | auto_install: false 且 bws 不在 PATH 中 | 从 github.com/bitwarden/sdk-sm/releases 手动安装,或重新开启 auto_install |
Checksum mismatch | 下载内容损坏或被篡改 | 重新运行,将自动重试;如持续出现,请提交 issue |
安全说明
BWS_ACCESS_TOKEN)本身是敏感信息——任何持有它的人都可以读取机器账户有权访问的所有 secret。请与其他 API 密钥同等对待。override_existing: true,Hermes 也会拒绝让 Bitwarden 覆盖引导令牌本身。如果你将 BWS_ACCESS_TOKEN 作为 secret 存储在项目中,应用时会静默跳过。bws 二进制文件的下载会与同一 GitHub release 中发布的 SHA-256 校验和进行验证。不匹配时将中止安装。bws v2.0.0)通过向本仓库提交 PR 的方式更新——Hermes 不会将 bws 自动升级到"最新版本",因为上游 release 的结构可能发生变化。不适用场景
~/.hermes/.env 已经够用。你只是用一个凭据换了另一个,并在启动时增加了网络依赖。api.bitwarden.com 的隔离环境。修改于 2026-05-31 00:25:01