會話隔離模式

於 LLM 應用中隔離使用者會話的逐步演練，防止使用者之間的上下文、記憶與權限互相污染。

在多使用者 LLM 應用中，會話隔離可防止某位使用者的提示詞、上下文與資料洩漏至另一位使用者的會話。若缺乏適當隔離，某會話中的提示詞注入可能污染共用記憶、擷取其他使用者的對話歷史，或跨越會話邊界提升權限。本演練將實作穩健的會話隔離模式。

步驟 1：設計會話邊界

建立 IsolatedSession 資料類別：包含 session_id、user_id、建立時間、加密會話令牌、上下文訊息列表（以列表字典儲存 role 與 content），以及 max_context_length（預設 50）與 is_active 布林值。靜態 create 方法使用 secrets.token_hex(16) 產生會話 ID，並使用 secrets.token_urlsafe(32) 產生令牌，時間戳記採用帶時區的 UTC。add_message 方法在新增訊息後，會截斷使其不超過最大上下文長度。get_context 回傳上下文的副本，避免外部直接修改內部狀態。

步驟 2：建立會話儲存

SessionStore 類別內部維護兩個字典：_sessions 將 session_id 映射至會話物件，_user_sessions 將 user_id 映射至該使用者的會話 ID 集合。create_session 建立新會話並同時更新兩個對照表。get_session(session_id, token) 會查找會話，並以 secrets.compare_digest 進行常數時間令牌比對以防時序攻擊。若令牌不符合，記錄警告並回傳 None；若會話已停用亦回傳 None。terminate_session 將 is_active 設為 False 並清除上下文。get_user_sessions 列出特定使用者的所有會話 ID。

步驟 3：防止跨會話上下文洩漏

ContextIsolationEnforcer 類別持有 store 的參考。validate_context_request(requesting, target) 僅在請求與目標相同時回傳 True，否則一律拒絕，即絕不允許跨會話上下文存取。sanitize_shared_resources(resource, session_id) 會遍歷該會話的上下文訊息，若共用資源字串中出現任何該會話的訊息內容，則將其替換為 [REDACTED_SESSION_DATA]，以避免共用資源在跨會話環境中洩漏敏感資料。

步驟 4：實作會話專屬記憶

SessionMemoryManager 以巢狀字典 _memories[session_id][key] = value 儲存資料。store、retrieve、clear_session 與 list_keys 方法都以 session_id 為頂層鍵進行操作，確保不同會話的記憶完全隔離，任何操作都不會跨越會話邊界。

步驟 5：部署會話隔離 API

以 FastAPI 建立三個端點：POST /session/create 接受 user_id 並回傳 session_id 與 token；POST /session/{session_id}/message 需在 X-Session-Token 標頭提供令牌，透過 store.get_session 驗證後才將訊息加入上下文，驗證失敗則回傳 HTTP 403。服務以 uvicorn sessions.api:app --port 8650 啟動。

步驟 6：測試會話隔離

撰寫 pytest 測試案例：test_sessions_are_isolated 建立兩個使用者的會話，在第一個中寫入機密資料後，確認第二個會話的上下文不含該機密字串；test_invalid_token_rejected 使用錯誤令牌嘗試存取會話，應回傳 None；test_terminated_session_inaccessible 終止會話後，即使提供正確令牌也應回傳 None。透過 pytest tests/test_sessions.py -v 執行。

步驟 7：監控邊界違規

SessionMonitor 使用 Counter 追蹤各來源 IP 的無效令牌嘗試次數。每當偵測到無效令牌時呼叫 record_invalid_token，若同一 IP 累計達 5 次，記錄 CRITICAL 等級日誌，提示可能的會話劫持嘗試，便於 SOC 進行後續處理。

相關主題

• 以能力為基礎的存取控制 —— 每個會話的能力管理
• 代理記憶清理 —— 防止記憶投毒
• LLM 呼叫稽核日誌 —— 會話感知日誌
• AI API 速率限制 —— 每會話速率限制