问题定义：为什么“永久访问”必须能被一键收回

在 SafeW 的密码库逻辑里，共享密码一旦通过“永久链接”或“永久角色”分发，系统默认不会在链上记录过期时间。对于 DAO 财库、跨境电商客服组或临时外包团队，这意味着前成员离职后仍能打开保险库，形成长期幽灵权限。SafeW 在 2026-03 的 v5.3.0 中把“一键撤销”做成独立菜单，就是给运营者一把“紧急手刹”，在 30 秒内让指定成员的所有设备立即失去解密能力，而无需改动密码本身。

功能边界：哪些共享能被撤销，哪些不能

可撤销对象必须同时满足：
① 由当前钱包主身份（Owner DID）发出的共享；
② 共享时勾选了“永久”或“自定义过期≥90 天”；
③ 接收方未在本地执行“导出明文”或“离线抄录”。
若对方已导出，则撤销只能阻断后续同步，无法删除其本地副本——这是 AES-256-GCM 的端到端加密原则决定的，SafeW 官方也无法远程擦除。

最短可达路径：三平台对比

iOS / Android（SafeW App v5.3.0 及以上）

打开 App → 底部栏【密码库】→ 右上角“🔑”图标进入【共享中心】。
在“我已共享”标签页，找到目标条目，左滑（iOS）或长按（Android）调出【撤销】按钮。
系统弹出“风险摘要”→ 勾选“已通知对方”→ 点【立即撤销】。
整个过程平均耗时亚秒级，界面返回“已失效”标签即成功。

macOS / Windows（桌面端 v5.3.0）

顶部菜单【Vault】→【Shared Items】→ 右侧筛选器选“Permanent”。
鼠标悬停目标条目 → 右侧“⋯”→【Revoke Access】。
输入本地设备密码或指纹做一次 FIDO2 验证 → 看到绿色提示“Revocation broadcasted”。

Web 插件（Chrome 扩展 v5.3.0）

点击浏览器插件图标 →【密码库】→【Shared】。
找到条目 → 右侧红色“⏹”→ 确认撤销。
插件会调用桌面 SafeW 客户端做 MPC 签名，若客户端未运行，将提示“请打开桌面端完成冷签”。

例外与副作用：什么时候不该点“一键撤销”

1. 团队正在链上执行紧急转账：撤销会导致对方设备丢失 MPC 分片，交易无法完成，需重新凑签名。
2. 共享条目≥500 条：经验性观察，批量撤销超过 500 条时，链上同步队列可能拥堵数十秒，建议分 200 条一页操作。
3. 对方处于飞行模式：撤销指令会在其恢复网络后生效，若其在此期间打开本地缓存，仍可看到明文——工作假设：先电话确认离线再执行。

验证与回退：如何确认真的撤干净了

验证三步法

① 在【共享中心】→“已失效”标签，能看到被撤销成员 DID 与 UTC 时间戳；
② 用另一台设备登录被撤销成员账号，尝试打开密码库，应提示“无解密权限”；
③ 查看 SafeW 内置的【审计日志】（设置→合规→Audit Log），检索 Revoke 事件，状态为broadcast confirmed。

回退方案

若误撤销，可立即重新生成新的共享链接，并勾选“继承原备注”，系统会沿用前一次的权限模板，但旧链接不会复活，需手动发给对方。

与第三方 Bot 协同：最小权限原则

部分 DAO 使用 Telegram 机器人做“离职即踢群”自动化。SafeW 提供公开 API（/v1/share/revoke），可让机器人调用，但需满足：
① 机器人只能拿到只读 OAuth2 令牌，不含钱包转账权限；
② 令牌有效期 12 h，过期需重新扫码；
③ 机器人无法读取密码明文，只能操作共享关系表。
示例：当 HR 在 Notion 把成员状态改为“Offboard”，Zapier 触发机器人调用上述接口，30 秒内完成撤销。

故障排查：最常见 4 条报错

界面提示	根因	处置
Revoke failed: MPC quorum not met	你的设备离线，无法完成 2/3 签名	打开网络或换一台在线设备
Invalid share ID	条目已被对方删除	无需再次撤销，系统已自动清理
Broadcast timeout	链上 RPC 拥堵	等 2-3 分钟重试，或手动切换 RPC 节点
Local key missing	你重装了 App，未恢复主身份	用 SafeKey Pro 碰一碰恢复主身份后再撤销

适用/不适用场景清单

适用：DAO 多签财库、跨境电商客服组、项目外包、临时审计团队，人数 3-200 人均可。
不适用：需要可审计长期只读的合规场景（如上市公司 SOX 404 归档），因为撤销后对方本地副本无法追溯；也不适合高频轮换（每日进出 50+ 人），因链上事件日志膨胀会导致桌面端 Audit Log 加载变慢。

最佳实践 5 条

共享前先在备注写“预计离职日期”，方便未来批量筛选。
对核心密码使用“临时链接+自动过期≤7 天”，减少永久共享数量。
每月第一周由安全员运行【共享体检】（设置→实验室→共享体检），一键列出 90 天未活动的永久共享。
撤销后 24 h 内，在群组公开@对方，避免“权限消失”误以为是 Bug。
为 Telegram 机器人设置 12 h 令牌+ IP 白名单，防止滥用。

版本差异与迁移建议

v5.2 及更早版本没有“一键撤销”，只能“旋转密码”——即系统重新加密并推送新密文，旧成员无法解密，但代价是所有成员都得重新同步。迁移策略：先升级到 v5.3.0，再执行一次“旋转密码”，后续即可使用粒度更细的撤销功能。

FAQ（FAQPage Schema）

撤销后对方还能导出明文吗？

如果撤销前对方已点过“导出明文”，则本地副本无法远程删除；撤销只能阻断后续同步。

iPhone 丢失且未开 iCloud 安全备份，还能撤销别人吗？

只要你在新设备用 SafeKey Pro 恢复主身份，即可重新获得撤销权限；否则系统会因 MPC 分片不足而拒绝。

撤销操作上链吗？会泄露商业隐私？

SafeW 只在链上记录“共享 ID+撤销时间戳”，不含密码内容或业务备注，默认公开但无意义字符串，商业隐私风险极低。

收尾：下一步行动

打开 SafeW，进入【共享中心】跑一次“共享体检”，把 90 天未活动的永久共享全部撤销；随后给团队写一封 3 行邮件：①说明已清理；②要求以后共享≤7 天；③附上加 SafeW 机器人工单入口。完成这三步，你就把“幽灵权限”降到了可控区间。