Crypto.getRandomValues:安全随机数与密钥材料
使用 `crypto.getRandomValues` 生成加密安全的随机数与密钥材料,避免使用 `Math.random` 等不安全来源,给出长度与类型建议。
密钥
HashiCorp Vault 动态凭证与租户密钥治理(2025)
HashiCorp Vault 动态凭证与租户密钥治理(2025)一、租户与命名空间租户:以命名空间隔离租户;独立策略与路径(租户)。授权:最小权限策略,仅允许必要的读写路径。二、动态凭证与轮换动态凭证:为数据库/云服务签发短期凭证(动态凭证),自动过期。密钥轮换:定期轮换密钥与证书;记录版本与撤销
HashiCorp Vault 动态数据库凭证与密钥轮换实践
使用 Vault 数据库引擎签发短周期动态凭证与密钥轮换,提供配置与验证示例,降低泄露风险。
JWE敏感负载加密与密钥轮换(AES-GCM/RSA-OAEP)最佳实践
通过AES-GCM加密敏感负载与RSA-OAEP封装CEK,并实施kid标识与轮换策略,保障传输与存储的机密性与可追溯性。
JWT 与 JWK 密钥轮换与 RS256 验证实践
"采用 JWK 进行密钥轮换与 RS256 验证,覆盖 JWK 拉取、kid 选择、签名验证与安全注意事项。"
KMS包裹加密Envelope Encryption与密钥策略实践
使用 KMS 的包裹加密模式,以主密钥包裹数据密钥实现高效加密,设计访问策略与轮换审计,并提供集成与验证方法。
KMS密钥轮换与Envelope Encryption最佳实践
使用Envelope Encryption实现数据加密,包含数据密钥生成与AES-GCM加密、数据密钥用主密钥(CMK)包裹、密钥轮换与元数据管理,附加解与轮换示例与参数校验。
CI/CD密钥最小化与短期凭证治理(OIDC-Federation-工作负载身份)最佳实践
通过 OIDC 联邦与短期凭证替代长期密钥,结合最小权限与时间窗口治理,降低CI/CD密钥泄露风险。
Web Crypto API 端侧加密与密钥管理:AES-GCM、SHA-256 与安全实践
使用 Web Crypto API 在浏览器端实现对称加密与哈希校验,覆盖 AES-GCM、SHA-256 与密钥管理策略,提供可验证的安全与性能指标
Web Crypto HKDF与密钥派生前端安全使用最佳实践
"在前端使用Web Crypto HKDF安全派生密钥,结合盐值与上下文信息、AES-GCM加密封装与最小暴露策略,构建可验证的密钥管理方案。"
