Chandra vLLM服务安全加固:JWT鉴权+请求白名单+OCR内容敏感词过滤
1. 为什么需要为Chandra OCR服务做安全加固
Chandra 是 Datalab.to 在2025年10月开源的「布局感知」OCR模型,主打高精度、强泛化、开箱即用——4GB显存可跑,olmOCR综合得分83.1,表格识别达88.0,手写与长小字识别分别拿下92.3和80.3分。它能把扫描合同、数学试卷、PDF表单一键转成带完整排版信息的 Markdown、HTML 或 JSON,天然适配 RAG 构建、知识库沉淀、自动化文档处理等真实业务场景。
但正因能力强大、部署轻便(pip install chandra-ocr 即得 CLI + Streamlit + Docker),越来越多团队将其作为内部文档处理中枢:上传合同自动提取条款、扫描试卷结构化入库、PDF表单识别后对接审批流……这些场景无一例外涉及原始文件上传、文本内容输出、结果回传至业务系统——而默认的 vLLM API 接口是完全开放的:无身份校验、无调用来源限制、无内容风险拦截。
这意味着:
- 任意网络可达的客户端都能调用你的 OCR 服务,可能被恶意刷量、拖垮 GPU;
- 外部用户上传含敏感信息的图片(如身份证、银行卡、病历),服务会原样返回识别结果,存在数据泄露风险;
- 没有访问控制,内部系统间调用也缺乏可信凭证,难以审计谁在何时调用了什么。
所以,当 Chandra 从“本地玩具”走向“生产级服务”,安全加固不是锦上添花,而是上线前的必选项。本文不讲理论,只给三招落地方案:JWT 鉴权控制谁可以调用、IP 白名单限定从哪调用、OCR 输出内容实时敏感词过滤防泄漏——全部基于 vLLM 原生扩展能力实现,无需修改 Chandra 模型代码,不增加推理延迟,部署后即可生效。
2. 环境准备:本地快速启动 Chandra + vLLM 服务
Chandra 官方提供两种后端:HuggingFace Transformers(适合调试)和 vLLM(适合高并发、低延迟生产)。本文聚焦 vLLM 模式,因其支持 PagedAttention、连续批处理、多 GPU 并行,单页 8k token 平均仅需 1 秒,真正满足批量文档处理需求。
注意:“两张卡,一张卡起不来”不是玩笑——Chandra 的 ViT-Encoder+Decoder 架构对显存带宽敏感,vLLM 默认启用张量并行(tensor parallelism),若单卡显存不足或未正确配置
--tensor-parallel-size,服务会启动失败或 OOM。实测 RTX 3060(12GB)需设--tensor-parallel-size 1,A10(24GB)可设2,A100(40GB)推荐4。
2.1 一键安装与基础服务启动
确保已安装 Python 3.10+ 和 CUDA 12.1+,执行:
# 创建独立环境(推荐) python -m venv chandra-env source chandra-env/bin/activate # Linux/macOS # chandra-env\Scripts\activate # Windows # 安装核心依赖 pip install --upgrade pip pip install chandra-ocr vllm # 启动基础 vLLM 服务(以 chandra-ocr-7b 为例) vllm serve \ --model datalab-to/chandra-ocr-7b \ --dtype bfloat16 \ --tensor-parallel-size 1 \ --gpu-memory-utilization 0.9 \ --host 0.0.0.0 \ --port 8000 \ --api-key "your-secret-key" # 仅基础密钥,非 JWT此时,你已拥有一个运行中的/v1/chat/completions接口,可通过 curl 测试:
curl http://localhost:8000/v1/chat/completions \ -H "Content-Type: application/json" \ -H "Authorization: Bearer your-secret-key" \ -d '{ "model": "datalab-to/chandra-ocr-7b", "messages": [{"role": "user", "content": "OCR: data/sample.pdf"}], "max_tokens": 2048 }'但请注意:这个--api-key仅做最简 Bearer 校验,不绑定用户身份、不支持过期、不记录调用者 IP、无法区分权限等级——它只是安全加固的第一块垫脚石,远非终点。
3. 第一层防护:JWT 身份鉴权,让每次调用都“持证上岗”
vLLM 原生支持通过--auth-token启动参数设置静态密钥,但生产环境需要动态签发、按用户分级、支持过期与吊销。我们采用标准 JWT(JSON Web Token)方案,由独立认证服务(如 Keycloak、Auth0)或轻量 Flask 服务签发,vLLM 侧通过自定义AuthMiddleware插件验证。
3.1 JWT 签发逻辑(示例:Flask 认证服务)
# auth_server.py from flask import Flask, request, jsonify import jwt import datetime app = Flask(__name__) SECRET_KEY = "chandra-secure-2025" @app.route('/login', methods=['POST']) def login(): data = request.get_json() username = data.get('username') password = data.get('password') # 此处应对接真实用户库(LDAP/DB),此处简化为硬编码校验 if username == "admin" and password == "pass123": payload = { "sub": username, "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=24), "scope": ["ocr:read", "ocr:batch"] } token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') return jsonify({"token": token}) return jsonify({"error": "Invalid credentials"}), 401 if __name__ == '__main__': app.run(port=5000)调用curl -X POST http://localhost:5000/login -H "Content-Type: application/json" -d '{"username":"admin","password":"pass123"}'即可获得形如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...的 JWT。
3.2 vLLM 自定义鉴权中间件
vLLM 支持通过--middleware参数加载自定义 ASGI 中间件。新建jwt_auth_middleware.py:
# jwt_auth_middleware.py import jwt from starlette.middleware.base import BaseHTTPMiddleware from starlette.responses import JSONResponse from starlette.status import HTTP_401_UNAUTHORIZED, HTTP_403_FORBIDDEN SECRET_KEY = "chandra-secure-2025" class JWTAuthMiddleware(BaseHTTPMiddleware): async def dispatch(self, request, call_next): auth_header = request.headers.get("Authorization") if not auth_header or not auth_header.startswith("Bearer "): return JSONResponse( {"error": "Missing or invalid Authorization header"}, status_code=HTTP_401_UNAUTHORIZED ) token = auth_header[7:] try: payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"]) # 可在此处检查 scope,例如只允许带 "ocr:read" 的 token 调用 OCR if "ocr:read" not in payload.get("scope", []): return JSONResponse( {"error": "Insufficient permissions"}, status_code=HTTP_403_FORBIDDEN ) # 将用户信息注入 request.state,供后续逻辑使用 request.state.user = payload["sub"] except jwt.ExpiredSignatureError: return JSONResponse( {"error": "Token expired"}, status_code=HTTP_401_UNAUTHORIZED ) except jwt.InvalidTokenError: return JSONResponse( {"error": "Invalid token"}, status_code=HTTP_401_UNAUTHORIZED ) return await call_next(request)3.3 启动带 JWT 验证的 vLLM 服务
vllm serve \ --model datalab-to/chandra-ocr-7b \ --dtype bfloat16 \ --tensor-parallel-size 1 \ --gpu-memory-utilization 0.9 \ --host 0.0.0.0 \ --port 8000 \ --middleware "jwt_auth_middleware:JWTAuthMiddleware"现在,所有请求必须携带有效 JWT:
# 正确调用 curl http://localhost:8000/v1/chat/completions \ -H "Content-Type: application/json" \ -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." \ -d '{...}' # 返回 401 curl http://localhost:8000/v1/chat/completions \ -H "Content-Type: application/json" \ -d '{...}'效果:每个调用都绑定具体用户(request.state.user)、具备时效性(24小时过期)、支持权限分级(scope字段),彻底告别“一把密钥走天下”。
4. 第二层防护:IP 请求白名单,从源头限制调用来源
JWT 解决了“谁在调用”,但没解决“从哪调用”。内部系统(如合同管理系统、教务平台)应被允许调用,而公网爬虫、未授权测试机则必须拒绝。我们通过 vLLM 的--allowed-origins参数(用于 CORS)不足以实现严格 IP 控制,需在 ASGI 层添加 IP 白名单中间件。
4.1 实现 IP 白名单中间件
新建ip_whitelist_middleware.py:
# ip_whitelist_middleware.py from starlette.middleware.base import BaseHTTPMiddleware from starlette.responses import JSONResponse from starlette.status import HTTP_403_FORBIDDEN import ipaddress # 允许的内网 IP 段与特定公网 IP(示例) ALLOWED_IPS = [ "192.168.1.0/24", # 内网办公网段 "10.0.0.5", # 合同管理系统服务器 "203.0.113.10", # 教务平台出口 IP ] def is_ip_allowed(client_ip): try: ip_obj = ipaddress.ip_address(client_ip) for cidr_or_ip in ALLOWED_IPS: if "/" in cidr_or_ip: # CIDR 网段 network = ipaddress.ip_network(cidr_or_ip, strict=False) if ip_obj in network: return True else: # 单个 IP if ip_obj == ipaddress.ip_address(cidr_or_ip): return True except ValueError: pass return False class IPWhitelistMiddleware(BaseHTTPMiddleware): async def dispatch(self, request, call_next): client_ip = request.client.host if not is_ip_allowed(client_ip): return JSONResponse( {"error": f"IP {client_ip} not allowed"}, status_code=HTTP_403_FORBIDDEN ) return await call_next(request)4.2 启动双中间件服务(JWT + IP 白名单)
vLLM 支持链式中间件,按顺序加载:
vllm serve \ --model datalab-to/chandra-ocr-7b \ --dtype bfloat16 \ --tensor-parallel-size 1 \ --gpu-memory-utilization 0.9 \ --host 0.0.0.0 \ --port 8000 \ --middleware "jwt_auth_middleware:JWTAuthMiddleware" \ --middleware "ip_whitelist_middleware:IPWhitelistMiddleware"效果:请求必须同时满足两个条件——持有有效 JWT且来源 IP 在白名单中。二者缺一不可,形成双重门禁。
5. 第三层防护:OCR 输出内容敏感词实时过滤,守住最后一道防线
JWT 和 IP 白名单保护了服务入口,但真正的风险点在于 OCR 输出本身:用户上传一张含身份证号的扫描件,Chandra 会忠实识别出ID: 11010119900307281X并返回。若该结果直接存入数据库或推送给前端,就构成数据泄露。
因此,我们必须在 vLLM 的响应生成完成后、返回客户端前,对message.content字段进行实时、可配置、低延迟的敏感词扫描与脱敏。
5.1 基于 vLLM Output Processor 的内容过滤
vLLM 提供--output-tokenizer和自定义AsyncLLMEngine扩展点,但最轻量的方式是利用其response的 ASGI 生命周期,在dispatch后、return前拦截响应体。我们在jwt_auth_middleware.py同级新增sensitive_filter_middleware.py:
# sensitive_filter_middleware.py import re from starlette.middleware.base import BaseHTTPMiddleware from starlette.responses import JSONResponse from starlette.status import HTTP_200_OK # 敏感词规则:正则 + 替换模板(支持多种脱敏方式) SENSITIVE_PATTERNS = [ (r'\b\d{17}[\dXx]\b', lambda m: m.group(0)[:6] + '*'*8 + m.group(0)[-2:]), # 身份证 (r'\b(?:1[3-9]|2[0-9]|3[0-9]|4[0-9]|5[0-9]|6[0-9]|7[0-9]|8[0-9]|9[0-9])\d{9}\b', lambda m: m.group(0)[:3] + '*'*8), # 手机号 (r'\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z|a-z]{2,}\b', lambda m: m.group(0).split('@')[0] + '@***.***'), # 邮箱 ] def filter_sensitive_text(text): if not isinstance(text, str): return text result = text for pattern, replacer in SENSITIVE_PATTERNS: result = re.sub(pattern, replacer, result) return result class SensitiveFilterMiddleware(BaseHTTPMiddleware): async def dispatch(self, request, call_next): response = await call_next(request) # 仅处理 /v1/chat/completions 的成功 JSON 响应 if (response.status_code == HTTP_200_OK and "application/json" in response.headers.get("content-type", "") and request.url.path == "/v1/chat/completions"): try: # 读取原始响应体 body = b"" async for chunk in response.body_iterator: body += chunk raw_json = body.decode('utf-8') import json data = json.loads(raw_json) # 遍历所有 choices 中的 message.content 进行过滤 if "choices" in data: for choice in data["choices"]: if "message" in choice and "content" in choice["message"]: original = choice["message"]["content"] filtered = filter_sensitive_text(original) if filtered != original: choice["message"]["content"] = filtered # 添加审计标记(可选) if "metadata" not in choice: choice["metadata"] = {} choice["metadata"]["sensitive_filtered"] = True # 重新构造响应 new_body = json.dumps(data, ensure_ascii=False).encode('utf-8') from starlette.responses import Response return Response( content=new_body, status_code=response.status_code, headers=dict(response.headers), media_type="application/json" ) except Exception as e: # 过滤失败不中断服务,原样返回 pass return response5.2 启动三重防护服务
vllm serve \ --model datalab-to/chandra-ocr-7b \ --dtype bfloat16 \ --tensor-parallel-size 1 \ --gpu-memory-utilization 0.9 \ --host 0.0.0.0 \ --port 8000 \ --middleware "jwt_auth_middleware:JWTAuthMiddleware" \ --middleware "ip_whitelist_middleware:IPWhitelistMiddleware" \ --middleware "sensitive_filter_middleware:SensitiveFilterMiddleware"效果演示:
- 输入 PDF 包含文字
身份证号:11010119900307281X,电话:13812345678 - OCR 输出原为:
{"content": "身份证号:11010119900307281X,电话:13812345678"} - 经过滤后变为:
{"content": "身份证号:110101********281X,电话:138****5678"} - 同时
metadata.sensitive_filtered: true标记本次脱敏,便于审计日志追踪。
6. 总结:三道防线,构建 Chandra 生产级安全闭环
到此,你已为 Chandra vLLM 服务构建了一套完整、轻量、可落地的安全加固方案:
- 第一道防线(身份可信):JWT 鉴权,将“谁在调用”落到具体用户,支持过期、吊销、权限分级,替代静态密钥;
- 第二道防线(来源可信):IP 白名单,从网络层锁定调用方必须来自内网或指定业务系统,杜绝公网随意访问;
- 第三道防线(内容可信):OCR 输出实时敏感词过滤,在响应返回前完成身份证、手机号、邮箱等关键字段脱敏,守住数据不出域的最后一关。
这三者不是堆砌,而是层层递进:没有 JWT,IP 白名单形同虚设(攻击者伪造内网 IP 成本极低);没有 IP 白名单,JWT 可能被暴力破解或泄露后滥用;没有内容过滤,再严格的访问控制也无法阻止敏感信息随 OCR 结果“合法流出”。
更重要的是,所有方案均基于 vLLM 原生中间件机制,零修改 Chandra 模型代码、零增加推理耗时、零侵入业务逻辑。你只需准备三个.py文件,加几行启动参数,就能让 Chandra 从“好用”真正变成“敢用、能用、放心用”。
下一步,你可以:
将 JWT 签发服务对接企业 LDAP 或钉钉/企微 OAuth;
把 IP 白名单配置化,通过环境变量或配置中心动态更新;
扩展敏感词库,加入行业专属词(如医疗术语、金融账号格式);
结合 vLLM 的--log-requests参数,将所有带sensitive_filtered标记的请求写入审计日志。
安全不是功能,而是习惯。当你把 OCR 当作生产服务来对待,它回报你的,将不只是 83.1 分的精度,更是业务连续、数据合规、团队安心的确定性。
7. 附:完整启动脚本与配置管理建议
为便于运维,建议将上述三重防护封装为启动脚本start_chandra_secure.sh:
#!/bin/bash # start_chandra_secure.sh export VLLM_MODEL="datalab-to/chandra-ocr-7b" export VLLM_TENSOR_PARALLEL="1" export VLLM_GPU_UTIL="0.9" export JWT_SECRET="your-production-jwt-secret-change-me" export WHITELIST_FILE="./whitelist.txt" # 可外部挂载 vllm serve \ --model $VLLM_MODEL \ --dtype bfloat16 \ --tensor-parallel-size $VLLM_TENSOR_PARALLEL \ --gpu-memory-utilization $VLLM_GPU_UTIL \ --host 0.0.0.0 \ --port 8000 \ --middleware "jwt_auth_middleware:JWTAuthMiddleware" \ --middleware "ip_whitelist_middleware:IPWhitelistMiddleware" \ --middleware "sensitive_filter_middleware:SensitiveFilterMiddleware"同时,将中间件代码、白名单配置、敏感词规则全部纳入 Git 版本管理,与模型镜像解耦,实现“安全策略即代码(Policy as Code)”。
获取更多AI镜像
想探索更多AI镜像和应用场景?访问 CSDN星图镜像广场,提供丰富的预置镜像,覆盖大模型推理、图像生成、视频生成、模型微调等多个领域,支持一键部署。
