企业级特性
A2A 对齐企业现有 身份、网关、合规 实践,而非新建孤岛安全模型。
1. 传输安全
- 强制 HTTPS/TLS。
- 可选 mTLS 服务间互信。
2. 认证授权
| 机制 | 说明 |
|---|---|
| Bearer JWT | API 网关校验 |
| OAuth2 / OIDC | 用户委派、三方代理 |
| API Key | 简单 B2B |
授权(能否调某 skill)由代理实现;协议只携带凭证。
3. 审计与观测
- 标准 HTTP 访问日志。
taskId/contextId贯穿追踪。- 不在协议层传输 PII 冗余字段。
4. 治理
- Agent Card 可由内部目录发布。
- 出站调用走企业 HTTP 代理。
- 速率限制在网关或 SDK 拦截器(见 a2ajs)。
5. 总结
企业采用 A2A = 现有零信任 + Card 治理 + Task 级审计。