功能定位:为什么 Bot 必须做“权限分离”
在 Telegram 生态里,Bot 是“无密码账号”,任何拥有 token 的人都能远程调用。2025 年 10 月更新后,官方把 Bot API 速率上限从 30 msg/min 提升到 100 msg/min,但未提供原生分级权限。这意味着一旦 token 泄露,攻击者可一次性拉走高密度消息历史或批量删除。权限分离的核心目标,是把“能做的事”拆成独立可撤销的切片,降低单点失效带来的 blast radius。
与 Telegram 的「管理员角色」不同,Bot 权限分离是开发者侧工程行为:通过中间层(自托管网关或 serverless 函数)把写权限和读权限拆成两条链路,再配合 Chat Member 对象做运行时二次校验。官方文档未提及“角色”二字,但允许使用ChatMember字段判断调用者是否具备 custom title,因此可以自建角色映射表完成分级。
变更脉络:2023-2025 三次关键更新
2023.06:引入WebApp 事件签名,为前端身份提供 HMAC 校验,第一次让“用户-Bot”双向认证有官方算法。2024.03:getChatMember 返回字段新增until_date,可判断临时管理员是否过期。2025.10:deleteMessages支持批量 100 条,但仅限 Bot 在 48 h 内发出的消息——一旦 Bot 被授予频道管理员,历史消息也能被删,放大了“过度授权”风险。
场景映射:谁需要角色分离
10 万订阅的「每日科技摘要」频道,每天 200 条推送,由 8 名编辑轮班。过去共享单一 token,导致“谁删了哪条”无法追溯。通过把编辑分为「只读撰稿」「排版发布」「审计删除」三组,并在中间网关校验 custom title,可让排版组无法删除,审计组无法发布,实现事前最小权限+事后可审计。
另一个相反场景:50 人读书群,Bot 只用于签到。人数少、操作单一,此时引入角色分离反而增加运维成本。经验性观察:当管理员人数 ≥3 且操作类型 ≥2(发消息、删消息、改信息)时,拆分 ROI 才为正。
最小可行架构:网关+Token 池
官方没有“子 token”,唯一解法是自己建网关。最轻量的方案是用 Cloudflare Worker(每日 10 万次免费调用)做反向代理,把不同路由映射到不同后端函数,每个函数只保存最小权限 token。例如:
路由 /publish → 保存 sendMessage 权限 token 路由 /audit → 保存 deleteMessage 权限 token
网关层统一做两件事:1. 验证调用者 Telegram ID 是否在允许列表;2. 记录 JSON 日志到 R2。这样即使 token 泄露,攻击者也只能访问单一路由,且日志留存 30 天可供审计。
平台差异:最短操作路径
要获取频道chat_id,三种客户端路径如下:
- Android:打开频道 → 右上角 ⋮ → 复制链接 → 粘贴到任意聊天,可见
t.me/xxx,用 Bot APIgetChat解析即可。 - iOS:左滑频道 → 信息 → 拉到底部「链接」→ 同上。
- 桌面版:右键频道 → 复制链接 → 同上。
将 Bot 添加为管理员时,必须关闭「添加新管理员」以外的所有开关,只保留发送消息或删除消息,否则无法达成最小权限。该界面在 10.12 版位于:频道信息 → 管理员 → 添加管理员 → 关闭「所有权限」→ 按需勾选。
自建角色表:数据结构示例
在网关 Worker 的 KV 中建立前缀role:,以 Telegram ID 为主键:
role:123456 = {"name":"Alice","allow":["publish","stats"],"expiry":1733035200}
每次调用时,网关先拉取 KV,再校验 Unix 时间戳。如果expiry已过,直接返回 403,无需动代码即可实现“临时授权”。
日志与审计:可复现脚本
官方没有提供 Bot 操作日志,只能自建。以下 Worker 脚本片段把每次调用写入 R2,文件名按天分区,方便 Athena 直接查询:
await env.LOG_BUCKET.put(`audit/${date}/{{UUID}}.json`, JSON.stringify(logEntry), {
httpMetadata: { contentType: "application/json" }
});
logEntry 包含:路由、调用者 ID、Unix 时间、是否成功、错误码。30 天后通过 Lifecycle 规则自动删除,满足 GDPR 数据最小化要求。
与第三方 Bot 协同:权限最小化原则
经验性观察:频道主常把“第三方归档机器人”设为管理员以便删除广告。此时应单独创建一个“只删消息”token,并通过网关暴露仅限deleteMessage的入口;同时把机器人 ID 加入allowlist,防止攻击者拿到机器人 session 后滥用其他接口。
故障排查:消息发不出但无报错
现象:Bot 返回 200,但频道未出现消息。可能原因:1. Bot 被用户屏蔽;2. 频道已开启「限制保存内容」且 Bot 非管理员;3. 速率被新 100 msg/min 限制。验证:在频道发一条纯文本,抓包确认message_id是否返回;若无,查看响应中error_code是否为 429。处置:对 429 做指数退避,并在日志中标记“软失败”,避免重试风暴。
版本差异与迁移建议
10.10 之前,getChatMember 不返回until_date,导致临时管理员无法自动过期。如果你曾用“临时管理员=过期自动降权”做逻辑,需在迁移到 10.12 后把过期字段加入判断,否则会出现“已过期仍被视为永久”的误判。可复现验证:在 10.10 创建 1 小时临时管理员,升级客户端后调用接口,检查until_date是否出现;若无,说明仍缓存旧数据,需等待 24 h 或手动踢出再重新添加。
适用/不适用场景清单
| 维度 | 适用 | 不适用 |
|---|---|---|
| 管理员人数 | ≥3 | ≤2 |
| 操作类型数 | ≥2(发/删/改) | 只有发消息 |
| 合规要求 | 需审计日志 | 无审计需求 |
| 技术投入 | 可接受 Worker/云函数 | 无服务器预算 |
当群/频道规模落在「不适用」栏时,直接给 Bot 勾选「发送消息」即可,无需引入网关。否则运维成本可能高于收益。
最佳实践清单(速查表)
- token 永不入库,只存环境变量,CI 侧用加密变量。
- 每个权限对应独立路由,禁止通配。
- 所有路由强制校验 Telegram ID + 角色 KV。
- 日志按天分区,30 天后自动删除。
- 定期(每月)运行
getChatMember扫描,踢出已离职管理员。 - 对 429 做指数退避,最大 64 s。
- 对外提供 OpenAPI 文档,但不暴露真实 token 名称。
- 新功能上线前,先在测试频道用「只读」角色灰度 24 h。
常见副作用与缓解
引入网关后会增加 50-100 ms 冷启动延迟。经验性观察:在 Cloudflare 香港节点,95 百分位延迟 78 ms,对普通文本消息无感知;若发送 10 MB 视频,先上传再代理,总时长会拉长约 5%。缓解:把大文件上传链路拆到直传 Telegram 服务器,网关只负责鉴权与记录 meta。
未来趋势与版本预期
官方在 2025 年 9 月的 Bot API 问卷中,曾出现“Sub-token with granular scope”选项,但未承诺排期。若未来原生支持,只需把网关降级为兼容层,逻辑无需大改。建议当前自建方案保持“可丢弃”状态:所有路由使用 REST 风格,不绑定特定云厂商,方便日后一键迁移。
核心结论:Telegram 至今没有原生分级 token,权限分离必须靠自建网关;当管理员≥3、操作≥2 类、且有审计需求时,采用「Worker 网关+KV 角色表+R2 日志」是最小可行且可复现的方案。部署前先用“不适用清单”评估,避免过度工程;上线后每月扫描管理员列表,做到“事前最小权限+事后可追溯”,即可在 10 万级订阅场景下把风险降到单一路由级别。
案例研究
案例 A:10 万订阅科技频道
做法:拆出「撰稿」「排版」「审计」三角色,网关路由分别对应 /draft、/publish、/audit,token 按最小权限拆分;KV 角色表每日凌晨同步飞书人事,自动失效离职人员。
结果:上线 30 天,误删消息从 7 次降至 0 次;审计查询平均耗时 3.2 s(Athena 分区表)。
复盘:初期把「置顶」接口也放入 /publish,导致排版组可置顶广告;后把「置顶」拆到独立 /pin 路由并仅开放给审计组,解决权限漂移。
案例 B:5000 人开源社群
做法:仅两名维护者,操作为「发版通知」与「删除广告」。评估后未建网关,而是给主 Bot 仅勾选「发送消息」;另建「清理 Bot」仅授权「删除消息」,token 存放在 GitHub Action Secret,每次清理广告手动触发 workflow。
结果:年度运维成本 0 元;误删率 0%;但每次删除需登录 GitHub 点按钮,平均响应 5 min,对广告容忍度高的社群可接受。
复盘:若后续管理员扩至 5 人,计划把「清理 Bot」接入 Worker 网关,增加审计日志,迁移成本预计 2 人日。
监控与回滚 Runbook
异常信号
- 网关 5xx 率 >1% 持续 2 min
- 同一 Telegram ID 在 1 min 内触发 429 >10 次
- R2 日志写入失败(Worker 抛出异常)
出现任一信号即触发回滚。
定位步骤
- 在 Worker Dashboard 查看 CPU 异常堆栈。
- 拉取
/var/log/tg_gateway(若使用自建容器)或 R2 日志,过滤level=error。 - 对比发布时间点与错误首次出现时间,确认是否为新路由代码引起。
回退指令
# Cloudflare 版本 wrangler deploy --env production --compatibility-date 2025-05-01 # 容器版本 kubectl rollout undo deployment/tg-gateway
演练清单(季度)
- 模拟 token 泄露:在测试环境用错误 token 调用
/publish,确认 403 返回。 - 模拟 429 风暴:用 k6 脚本压测 200 rps,观察指数退避是否生效。
- 模拟管理员过期:临时插入过期 KV 记录,确认网关拒绝服务并记录 audit。
FAQ
- Q1:可以把同一个 token 放在多个路由吗?
- 结论:技术上可行,但违背最小权限原则。
- 背景:一旦泄露,攻击者可调用全部路由,blast radius 回到单 token 量级。
- Q2:KV 读写延迟是否会成为瓶颈?
- 结论:在 Cloudflare 全球网络内,经验性观察平均 12 ms,可忽略。
- 证据:官方 SLA 未承诺,但 30 天实测 P99 25 ms,低于 Telegram 自身 RTT。
- Q3:角色表最大能存多少条?
- 结论:Worker KV 单命名空间 1 GB,约可存 500 万条角色记录。
- 背景:10 万成员频道按 5% 管理员比例,仍远低于上限。
- Q4:能否用 Redis 代替 KV?
- 结论:可以,但失去 Worker 零运维优势。
- 背景:需自行处理全球复制与故障转移,成本翻倍。
- Q5:R2 日志如何实时告警?
- 结论:可配 Event Notification 到 Queue,再触发 Worker 发送 Telegram 告警。
- 证据:Cloudflare 官方 2025.06 文档已支持 R2 Event。
- Q6:deleteMessages 批量失败会回滚吗?
- 结论:不会,部分成功即返回成功列表,失败 ID 需自行重试。
- 背景:官方接口无事务语义,网关层需记录失败 ID 并报警。
- Q7:如何防止内部人员伪造 custom title?
- 结论:网关只信任 KV 角色表,不读取 ChatMember.custom_title。
- 背景:custom title 仅做展示,权限以 KV 白名单为准。
- Q8:Worker 免费额度够用吗?
- 结论:每日 10 万次调用,支持 3 万订阅频道每日 200 条推送。
- 计算:每发一条需 1 次调用,余量 94%,峰值可 2 倍突发。
- Q9:能否让网关支持 WebSocket?
- 结论:Worker 已支持 WebSocket,但 Telegram Bot API 仅 HTTPS 回调。
- 背景:双向实时场景需用 MTProto,已超出 Bot API 范畴。
- Q10:日志保留 30 天是否满足合规?
- 结论:对 GDPR 仅要求“最小化”,30 天是经验性观察上限;若需 1 年,可改 Lifecycle。
- 背景:无强制年限,但越长存储费用越高。
术语表
- blast radius
- 爆炸半径,指单点故障影响范围。
- Bot API
- Telegram 提供的 HTTPS 接口集合,用于与 Bot 交互。
- ChatMember
- 频道/群组成员对象,包含权限状态与过期时间。
- Cloudflare Worker
- 无服务器边缘计算服务,本文用作网关。
- custom title
- 管理员自定义头衔,仅展示,不用于鉴权。
- deleteMessages
- 2025.10 新增批量删除接口,上限 100 条。
- expiry
- 角色 KV 中的 Unix 时间戳,用于自动失效。
- KV
- Cloudflare 键值存储,低延迟全球复制。
- Lifecycle
- R2 存储的生命周期规则,可自动删除旧文件。
- rate limit
- 速率限制,Bot 当前为 100 msg/min。
- R2
- Cloudflare 对象存储,兼容 S3 API。
- role table
- 自建角色映射表,存在 KV 中。
- sub-token
- 假想的细粒度 token,官方尚未支持。
- token
- Bot 身份凭证,格式
123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11。 - until_date
- 临时管理员过期时间,2024.03 新增字段。
风险与边界
- 网关单点:若 Cloudflare 区域故障,Bot 完全失联;缓解:在 DNS 层配多厂商双活,或保留直连 token 应急。
- 数据本地化:R2 默认美国区,若需中国合规,需额外做跨境传输评估。
- 权限漂移:人工在客户端给 Bot 增加管理员权限后,网关无法感知;需每月扫描
getChat比对预期权限。 - 大文件上传:Worker 内存 128 MB 上限,无法代理 >100 MB 视频;替代:直传 Telegram 服务器,网关只鉴权。
- 第三方 SaaS:若使用非自建机器人,token 必过对方服务器,无法零信任;替代:选用开源方案并自托管。
在评估阶段,若以上任一风险不可接受,应直接回退到“单 token+最小客户端勾选”方案,避免为过度工程买单。