技术教程

Docker 容器安全与最小化镜像实践

概述 减少攻击面与权限是容器安全的第一原则。本文聚焦镜像与运行时的最小化策略,以提升安全性与可维护性。 已验证技术参数 - 使用最小基础镜像(如 `alpine` 或 `distroless`)减少体积与攻击面 - 在 Dockerfile 中声明非 root 用户:`USER appuser` 并设置明确的工作目录与权限 - 收敛能力:以 `--cap-drop=ALL` 运行容器,仅在必

JWT 安全实践:算法选择、kid 注入与签名校验

--- title: "JWT 安全实践:算法选择、kid 注入与签名校验" keywords: - JWT - alg none - kid 注入 - JWK - 签名校验 - 最佳实践 description: "总结 JWT 在生产中的常见风险与最佳实践,包括禁用 alg=none、稳健的签名算法选择、kid/JWK 处理与签名严格校验。" categories: ...

CDC 变更数据捕获与异构同步实践(2025)

# CDC 变更数据捕获与异构同步实践(2025) CDC 将数据库的变更事件化,支持跨系统的低延迟同步与审计。 ## 一、捕获与来源 - binlog/redo:从数据库日志捕获变更(如 MySQL binlog)。 - 表级变更:配置过滤与白名单,控制事件体量。 ## 二、管道与传输 - 事件总线:以 Kafka 等传输与缓冲变更事件。 - 模式与兼容:保持模式与类型一致性,避免解析错误