CI/CD密钥最小化与短期凭证治理(OIDC-Federation-工作负载身份)最佳实践
通过 OIDC 联邦与短期凭证替代长期密钥,结合最小权限与时间窗口治理,降低CI/CD密钥泄露风险。
oid
Cosign无密钥签名OIDC声明治理(subject-issuer-时间窗)最佳实践
验证 Cosign 无密钥签名的 OIDC 声明与时间窗口,校验发行方与主体信息并与策略对齐,保障制品可信度。
OIDC PKCE 与刷新令牌轮换(2025)
OAuth 2.1/OIDC PKCE 与刷新令牌轮换(2025)一、授权与 PKCE授权码模式:前端发起授权,服务端交换令牌;对公开客户端强制 `PKCE`(S256)。代码验证:生成 `code_verifier` 与 `code_challenge`,校验防劫持。范围:按最小权限设置 `sco
OIDC ID Token验证与时钟偏移(aud/iss/nonce/exp)最佳实践
通过JWS验签与`iss/aud/nonce/exp`校验并引入时钟偏移容忍窗口,保障OIDC ID Token在不同环境下的稳健可信。
OIDC 对比(2025)
SSO 单点登录与 SAML/OIDC 对比(2025)SSO 将用户登录状态在多个应用间复用。SAML 更偏企业与浏览器重定向,OIDC 更现代并适配多端。一、协议与适配SAML:基于 XML 的断言与签名,适合 Web 企业应用。OIDC:在 OAuth2 之上提供身份层,适配浏览器与移动端。二
