认证
Opaque Token与JWT:令牌设计与验证权衡
比较不透明令牌与自包含 JWT 的验证路径与风险,指导网关与服务的令牌设计与缓存策略。
OAuth2 Token Exchange:跨信任域令牌转换
通过令牌交换在跨信任域场景下实现令牌类型与主体转换,安全下放范围并统一审计。
WebAuthn/FIDO2 无密码认证最佳实践
"以WebAuthn/FIDO2为基础,结合Passkey与设备绑定流程,提供注册与登录挑战验证的完整实现与安全治理建议。"
JWT客户端断言与授权服务器认证(client_assertion)最佳实践
通过JWT客户端断言在令牌与授权端点认证客户端身份,校验`iss/sub/aud/exp/iat/jti`并验证签名,提升安全可信度。
OAuth2 DPoP:证明持有者令牌的客户端绑定
通过 DPoP 为访问令牌绑定客户端密钥,降低令牌盗用与重放风险,增强 OAuth2 安全性。
JWKS与密钥轮换:OAuth/OIDC密钥管理
通过 JWKS 公钥集合与 `kid` 标识实现安全的密钥轮换与校验,保障令牌验证的长期可靠性。
WebSocket 认证与安全(JWT、Origin 校验、子协议与权限)
设计 WebSocket 的认证授权与安全策略,使用 JWT、Origin 校验与子协议控制权限,并提供验证方法。
API网关选型:Nginx、Envoy与Kong的对比
对比三类主流网关的能力与扩展性,从路由、鉴权到可观测性给出工程选型建议。
