AI代理的秘密保险库。
存储一次。注入任何地方。代理永远看不到密钥。

官网 · 文档 · Discord

---

什么是 OneCLI？

OneCLI 是一个开源网关，位于 AI 代理和它们调用的服务之间。而不是将 API 密钥硬编码到每个代理中，你可以在 OneCLI 中存储凭证，网关会透明地注入它们。代理永远不会看到密钥。

为什么我们构建它： AI 代理需要调用数十个 API，但给每个代理原始凭证存在安全风险。OneCLI 通过单一网关处理认证，让你有一个地方管理访问权限、轮换密钥并查看每个代理的活动。

工作原理： 你将在 OneCLI 中存储真实的 API 凭证，并给代理提供占位符密钥（例如 FAKE_KEY）。当代理通过网关发起 HTTP 请求时，OneCLI 网关会匹配请求到正确的凭证，将 FAKE_KEY 替换为 REAL_KEY，解密后注入到出站请求中。代理永远不会接触真实密钥。它只需正常发起 HTTP 请求，网关处理替换。

架构

• Rust 网关：快速的 HTTP 网关，拦截出站请求并注入凭证。代理通过 Proxy-Authorization 头使用访问令牌进行身份验证。
• Web 控制台：基于 Next.js 的应用，用于管理代理、凭证和权限。为网关提供 API，用于解析每个请求应注入的凭证。
• 凭证存储：使用 AES-256-GCM 加密的凭证存储。凭证仅在请求时解密，通过主机和路径模式匹配，并由网关作为头信息注入。

快速入门

在本地运行 OneCLI 的最快方式：

git clone https://github.com/onecli/onecli.git
cd onecli
docker compose -f docker/docker-compose.yml up

打开 http://localhost:10254，创建一个代理，添加你的凭证，并将代理的 HTTP 网关指向 localhost:10255。

功能

• 透明凭证注入：代理发起正常 HTTP 请求，网关处理认证
• 加密凭证存储：静态时使用 AES-256-GCM 加密，仅在请求时解密
• 主机与路径匹配：通过模式匹配将凭证路由到正确的 API 端点
• 多代理支持：每个代理获得自己的访问令牌并具有受限制的权限
• 简易设置：docker compose -f docker/docker-compose.yml up 启动所有服务（应用 + PostgreSQL）
• 两种认证模式：单用户模式（无需登录）用于本地使用，或 Google OAuth 用于团队
• Rust 网关：快速、内存安全的 HTTP 网关，支持 HTTPS 中间人拦截
• Vault 集成：连接 Bitwarden（或其他密码管理器）实现按需凭证注入，无需在服务器存储凭证

项目结构

apps/
  web/            # Next.js 应用（仪表盘 + API，端口 10254）
  gateway/        # Rust 网关（凭证注入，端口 10255）
packages/
  db/             # Prisma ORM + 迁移
  ui/             # 共享 UI 组件（shadcn/ui）
docker/
  Dockerfile      # 应用镜像（网关 + 仪表盘）
  docker-compose.yml

本地开发

先决条件

• mise（安装 Node.js、pnpm 和其他工具）
• Rust（用于网关）
• Docker（用于 PostgreSQL）

设置

mise install
pnpm install
cp .env.example .env
pnpm db:generate
pnpm db:up          # 启动 PostgreSQL
pnpm db:migrate     # 应用迁移
pnpm dev

仪表盘位于 http://localhost:10254，网关位于 http://localhost:10255。

命令

命令	描述
pnpm dev	以开发模式启动 web + 网关
pnpm build	生产环境构建
pnpm check	代码检查 + 类型 + 格式化
pnpm db:up	启动 PostgreSQL（Docker）
pnpm db:down	停止 PostgreSQL
pnpm db:generate	生成 Prisma 客户端
pnpm db:migrate	运行数据库迁移
pnpm db:studio	打开 Prisma Studio

配置

所有环境变量在本地开发中都是可选的：

变量	描述	默认值
DATABASE_URL	PostgreSQL 连接字符串	查看 .env.example
NEXTAUTH_SECRET	启用 Google OAuth（多用户）	单用户模式
GOOGLE_CLIENT_ID	Google OAuth 客户端 ID	—
GOOGLE_CLIENT_SECRET	Google OAuth 客户端密钥	—
SECRET_ENCRYPTION_KEY	AES-256-GCM 加密密钥	自动生成

贡献

我们欢迎贡献！在开始之前，请阅读我们的 贡献指南 和 行为准则。

许可证

Apache-2.0

OneCLI 快速上手指南

环境准备

• 系统要求：Linux/macOS（支持Docker）
• 前置依赖：
  • mise（安装Node.js/pnpm等工具）
  • Rust（用于编译gateway）
  • Docker（含Docker Compose）

安装步骤

1. 克隆仓库

git clone https://github.com/onecli/onecli.git
cd onecli

2. 启动服务

docker compose -f docker/docker-compose.yml up

基本使用

1. 访问管理界面：http://localhost:10254
2. 创建代理：点击"Create Agent"按钮
3. 添加密钥：在"Secrets"页面添加API凭证（如FAKE_KEY）
4. 配置代理：在代理设置中填写gateway地址 http://localhost:10255
5. 测试调用：通过代理发起HTTP请求，系统自动注入真实密钥