LLM输出防护:提示注入、敏感信息与事实核查
通过上下文隔离、输入/输出过滤与引用证据,实现对提示注入与敏感信息泄露的防护,并进行事实核查。
安全
Node脚本生命周期钩子治理(preinstall-postinstall-安全门禁)最佳实践
通过对包生命周期钩子脚本进行白名单与特征校验,阻断高风险安装脚本,降低供应链攻击面。
OAuth2 Device Flow与电视登录安全治理
使用设备码授权在受限输入设备上登录,规范轮询与过期、反钓鱼与绑定策略,保障安全与体验。
OAuth2 DPoP与Token绑定:防重放与转发攻击
利用 DPoP 证明将访问令牌与客户端密钥绑定,降低令牌被窃取后的转发与重放风险。
OAuth2 MTLS客户端认证:双向TLS与证书绑定
在 OAuth2 中使用 mTLS 客户端证书绑定令牌与连接,提升高敏接口的身份可信与防转发能力。
OAuth2 PAR与JAR:推送授权请求与JWT安全请求治理
采用 PAR 将授权参数通过后端安全提交,并用 JAR 对请求签名与加密,降低拦截与篡改风险,强化授权安全。
OAuth2 PKCE与授权码安全:拦截与重放防护
使用 PKCE 保护授权码流程,防止拦截与重放,结合 `state`/`nonce` 与精确回调治理安全边界。
OAuth2 Token Exchange与委托场景治理
基于 RFC 8693 的 Token Exchange 支持委托与扮演场景,规范 subject/actor 与受众治理,降低越权风险。
OAuth2 Token Introspection与撤销治理
实现 RFC 7662 的令牌查询与撤销流程,在资源服务器侧进行有效性与权限核验,保障安全与及时失效。
OAuth2.1 与 OIDC API 安全最佳实践
概述OAuth2.1 强调对隐式流程的淘汰与 PKCE 的普及。OIDC 在身份层提供标准声明与发现机制,简化客户端集成与安全校验。已验证技术参数客户端:使用授权码 + PKCE;淘汰隐式流程Token 校验:验证 `aud`、`iss` 与签名(JWKs),拒绝过期与撤销的令牌刷新令牌:使用轮换(
