核心功能
bw-cli 是 Bitwarden 官方推出的命令行密码管理工具,覆盖从认证、库操作到安全分享的完整工作流。
认证与会话管理:支持交互式登录、API 密钥、SSO 三种认证方式,通过 bw unlock 生成会话密钥 BW_SESSION,配合 bw lock/logout 实现安全的会话生命周期管理。支持自托管服务器配置,满足企业私有化部署需求。
密码库操作:完整的 CRUD 能力,支持登录项、安全笔记、信用卡、身份、SSH 密钥五种类型。提供基于 jq 的链式 JSON 处理模式,实现模板获取→修改→编码→创建的流畅工作流。支持文件夹、集合、附件管理,以及 30 天回收站恢复机制。
密码生成与安全:内置强密码(可定制长度、字符集)和易记 passphrase(单词数、分隔符、首字母大写)生成器,集成 Have I Been Pwned 泄露检测。
Send 安全分享:创建阅后即焚的文本/文件分享链接,支持密码保护、有效期设置(1-365 天),无需暴露主库即可安全传递敏感信息。
组织与协作:支持企业版功能,包括成员管理、设备审批、集合权限分配、指纹验证防中间人攻击。
显著优点
- 官方权威:Bitwarden 官方维护,与云端/自托管服务原生兼容
- 完整功能覆盖:个人版到企业版的全部功能均可 CLI 操作
- 自动化友好:JSON 输出、
--raw/--quiet模式、REST API 服务器 (bw serve) 支持脚本集成 - 安全设计:会话密钥隔离、环境变量传递密码、600 权限的
.secrets文件推荐
局限与风险
- 学习曲线陡峭:依赖
jq进行 JSON 处理,对非技术用户不够友好 - 会话管理负担:
BW_SESSION需手动导出,易因遗忘导致重复解锁 - 误操作风险:
--permanent删除不可逆;错误的jq过滤器可能破坏数据 - 依赖网络:除本地缓存外,多数操作需
bw sync联网
适合人群
- 开发者/DevOps 工程师(CI/CD 密码注入、基础设施自动化)
- 系统管理员(批量账户管理、企业审计)
- 高级用户(偏好终端效率、脚本化工作流)
常规风险提示
| 风险场景 | 缓解措施 |
|---------|---------|
| 会话密钥泄露 | 及时 `bw lock`,避免日志记录 `BW_SESSION` |
| 主密码硬编码 | 使用 `.secrets` 文件 + `BW_PASSWORD` 环境变量 |
| 敏感数据输出 | 配合 `--quiet` 管道传递,避免 shell 历史记录 |
| 自托管证书问题 | 配置 `NODE_EXTRA_CA_CERTS` |
| 组织成员欺诈 | 确认指纹匹配后再执行 `confirm` |
总体评估:功能完备、安全可靠的专业级 CLI 工具,适合有 JSON/Shell 基础的技术用户构建自动化密码管理流程。