Tornevall Networks

← Back to docs

Password Manager

Language: SV | EN | SV

Password Manager

Tools har nu ett första inloggningsstyrt password-manager-slice under /password-manager.

Åtkomstmodell

  • Webbgränssnitt: /password-manager
  • Autentisering: inloggad Tools-användare (auth:web)
  • Extra behörighet: ingen i denna första version

API-kontrakt

Tools exponerar nu också en första autentiserad Password Manager-API-yta under /api/password-manager/*.

Nuvarande auth-modell:

  • inloggad webbsession
  • eller JWT bearer-token från POST /api/account/login

Nuvarande endpoints:

  • GET /api/password-manager/entries
  • GET /api/password-manager/entries/{entryId}
  • POST /api/password-manager/entries
  • PUT /api/password-manager/entries/{entryId}
  • PATCH /api/password-manager/entries/{entryId}
  • DELETE /api/password-manager/entries/{entryId}

Responsbeteende i denna första version:

  • listresponser returnerar maskerade postrader plus summary-text och antal
  • full dekrypterad secret_payload returneras bara vid explicit detaljläsning och create/update-responser
  • API-responser skickar Cache-Control: no-store, private
  • ägarskap enforce:as fortfarande strikt per autentiserad användare

Varje post tillhör endast den inloggade användaren. Delning eller delegerad åtkomst finns inte ännu.

Nuvarande scope

Det första slicet är medvetet litet och säkerhetsfokuserat:

  • Login-poster för användarnamn, lösenord, OTP-hemligheter och privata anteckningar
  • Secure note-poster för recovery codes, serveranteckningar eller liknande krypterad text
  • Payment card-grund för krypterad lagring av kortinnehavare/kortdata

Säkerhet i denna första version

  • Känsligt payload-innehåll krypteras innan det lagras.
  • Ägarskap av poster enforce:as per inloggad användare.
  • Payment-card-poster vägrar lagra CVV/CVC.
  • Det finns ännu ingen browser extension, ingen delningsmodell och inget mobilt sync-kontrakt.

Posttyper

Login

Passar för:

  • webbplatsanvändare
  • lösenord
  • TOTP/OTP-hemligheter
  • kontospecifika anteckningar

Secure note

Passar för:

  • recovery codes
  • SSH-snuttar
  • larm-/katastrofinstruktioner
  • privat kontometadata

Payment card

Nuvarande guidning:

  • kortnummer kan lagras i krypterad form
  • brand/kortinnehavare/utgångsdatum stöds
  • CVV/CVC nekas medvetet i denna första version

Begränsningar just nu

  • API:t har ännu ingen separat unlock/session-gate utöver vanlig autentiserad session/JWT.
  • Ingen Android-implementation finns ännu, även om API-kontraktet nu existerar.
  • Ingen import/export finns ännu.
  • Ingen browser-autofill-integration finns ännu.
  • Ingen delning eller delegerad vault-åtkomst finns ännu.

Notering om Android-förberedelse

Android-planering för en framtida password-manager/mobile companion ligger just nu som internt pre-agent-material i:

  • agents-collection/AGENTS-PASSWORD-MANAGER-ANDROID-PREP.md

Den interna noten är fortfarande till för planering, men kompletterar nu det första publika /api/password-manager/*-kontraktet i stället för att ersätta det.