JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
总结 JWT 在生产中的安全实践与配置建议,覆盖签名算法、过期与刷新策略、黑名单与无状态会话实现。
实践
"JWT 与 JWK 密钥轮换与 RS256 验证实践"
"采用 JWK 进行密钥轮换与 RS256 验证,覆盖 JWK 拉取、kid 选择、签名验证与安全注意事项。"
JWKS公钥轮换与缓存门禁(kid/ttl/回退)最佳实践
通过对JWKS进行缓存与kid精确匹配、TTL上限控制与失败回退策略,保障公钥轮换期间JWT验签稳定与安全。
JWE敏感负载加密与密钥轮换(AES-GCM/RSA-OAEP)最佳实践
通过AES-GCM加密敏感负载与RSA-OAEP封装CEK,并实施kid标识与轮换策略,保障传输与存储的机密性与可追溯性。
JSONP禁用与跨域数据防护最佳实践
通过禁用JSONP与callback参数、统一使用安全的CORS与JSON响应头,阻断跨域数据泄露与脚本注入风险。
JSONP与旧式跨域传输风险识别与替换最佳实践
系统识别JSONP与旧式跨域传输的核心风险(回调注入、执行上下文XSS、MIME嗅探、缓存污染、CSRF等),并提供可验证的安全替代方案(CORS+SSE/WebSocket/postMessage),含服务器与前端的落地示例与参数校验。
JSON Schema输入验证与类型约束(长度/范围/枚举)最佳实践
以轻量JSON Schema约束输入参数的类型、长度与范围,并进行枚举校验与必填字段检查,提升接口稳健性与安全性。
"Istio 流量镜像与回放验证实践"
"通过 VirtualService 配置流量镜像,将线上请求镜像到影子服务进行回放与验证,保障升级安全。"
Istio 多集群与多网络 Mesh 联邦实践(2025)
Istio 多集群与多网络 Mesh 联邦实践(2025)一、拓扑与网关East-West Gateway:跨集群暴露服务,实现互访。拓扑设计:明确边界与流量路径,避免环路。二、服务发现与身份服务发现:通过联邦或注册拉取跨集群服务。身份联邦:SPIFFE/SVID 跨集群身份信任链。三、策略与观测策
Istio Ambient Mesh L4 安全与采样实践(2025)
Istio Ambient Mesh L4 安全与采样实践(2025)一、架构与组件Ambient Mesh:去 sidecar,以 `ztunnel` 在 L4 层实现路由与安全(Ambient Mesh)。分层:L4 安全与策略,必要时对特定服务启用 L7 能力。二、安全与mTLS身份:SPIF
