OIDC PKCE 与刷新令牌轮换(2025)
OAuth 2.1/OIDC PKCE 与刷新令牌轮换(2025)一、授权与 PKCE授权码模式:前端发起授权,服务端交换令牌;对公开客户端强制 `PKCE`(S256)。代码验证:生成 `code_verifier` 与 `code_challenge`,校验防劫持。范围:按最小权限设置 `sco
工程实践
OAuth 2.0 PKCE:SPA 的授权码最佳实践
"阐述 PKCE 在浏览器/移动端公共客户端中的作用与防护能力,结合授权码流程给出参数使用与安全注意事项。"
NuGet包来源与签名治理(sources-签名-哈希)最佳实践
对 NuGet 包来源与签名、哈希进行白名单与校验,确保 .NET 依赖链的完整与可信。
npmrc机密治理与令牌最小权限(always-auth-作用域)最佳实践
校验 npmrc 配置以启用 always-auth、严格来源与令牌最小权限,避免机密泄露与匿名回退风险。
npm audit安全更新治理(严重级别-例外到期)最佳实践
根据 npm audit 的严重级别与策略门槛执行阻断与更新建议,支持例外到期与审计记录,以平衡安全与稳定。
Notary v2镜像签名与策略治理(签名-信任策略)最佳实践
使用 Notary v2 对镜像执行签名与信任策略校验,基于摘要与签名元数据实施门禁与审计。
NoSQL注入防护(MongoDB/查询算子白名单)最佳实践
通过MongoDB查询算子白名单与键过滤、类型校验与分页限制,系统性防止NoSQL注入与资源耗尽。
Node脚本生命周期钩子治理(preinstall-postinstall-安全门禁)最佳实践
通过对包生命周期钩子脚本进行白名单与特征校验,阻断高风险安装脚本,降低供应链攻击面。
Nix-Guix环境锁定与可复验证(profile-derivation-哈希)最佳实践
通过 derivation 哈希与 profile 清单锁定,确保环境可复验与追溯,降低供应链与配置漂移风险。
Nginx高性能配置与反向代理实践
通过合理的进程与连接参数、HTTP/2/Gzip、upstream keepalive 等手段提升 Nginx 吞吐与稳定性,并给出验证方法。
