JWT 与 JWK 密钥轮换与 RS256 验证实践
---
title: JWT 与 JWK 密钥轮换与 RS256 验证实践
keywords:
- JWT
- JWK
- RS256
- kid
- 密钥轮换
description: 采用 JWK 进行密钥轮换与 RS256 验证,覆盖 JWK 拉取、kid 选择、签名验证与安全注意事项。
categories:
- 文章资讯
- 技术教程
---
# JWT 与 JWK 密钥轮换与 ...
网络安全
JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
---
title: JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
keywords:
- JWT
- HS256
- RS256
- 令牌刷新
- 无状态会话
description: 总结 JWT 在生产中的安全实践与配置建议,覆盖签名算法、过期与刷新策略、黑名单与无状态会话实现。
date: 2025-11-25
categories:
- ...
Apache APISIX 入口网关插件与路由治理(2025)
# Apache APISIX 入口网关插件与路由治理(2025)
## 一、路由与策略
- 路由:路径/方法/头部匹配与权重分流。
- 插件:认证/限流/重试/监控插件化治理。
## 二、安全与观测
- mTLS 与鉴权:双向加密与统一鉴权策略。
- 指标与日志:入口延迟/错误率与命中率观测。
## 三、发布与灰度
- 灰度策略:按比例/租户分流验证新版本。
- 回滚:异常时快速回退与关闭
DNSSEC记录验证与链路信任(DS/DNSKEY/RRSIG)最佳实践
通过对DNSSEC关键记录的结构与算法校验、链路信任验证与失败阻断,提升域名解析的完整性与可信度。
API 网关安全与 WAF 联动(2025)
# API 网关安全与 WAF 联动(2025)
入口安全需要策略统一与协同响应。本文聚焦网关与 WAF 的联动实践。
## 一、策略分层
- 网关:认证授权、流量治理与路由编排。
- WAF:攻击检测与规则拦截(SQL/XSS/命令注入等)。
## 二、联动与告警
- 规则协同:共享黑白名单与风险评分,避免重复与冲突。
- 告警与回滚:触发异常时联动熔断与灰度回退。
## 三、观测与审计
API 网关认证与签名(HMAC、时间戳、防重放与时钟偏移)
设计并验证基于 HMAC 的网关签名方案,涵盖时间戳窗口、防重放与时钟偏移容忍,确保外部调用安全可靠。
API安全与速率限制(Rate Limiting)实现指南与最佳实践
从鉴权到限流的全链路API安全实践,结合令牌桶/漏桶算法、作用域控制与黑白名单策略,给出高可用与低误杀的实现方案。
Bluetooth 5.4 新特性:PAwR 与加密广播数据(EAD)
概述 Bluetooth 5.4 的 PAwR(带响应的周期广播)与加密广播数据(EAD),说明其在电子价签与电池管理等场景中的优势与限制。
BroadcastChannel:跨标签通信与状态同步
介绍 BroadcastChannel 的跨标签通信模型与事件,如何进行会话状态同步、冲突处理与安全治理,并提供示例与参考。
CORP:Cross-Origin Resource Policy 的嵌入控制与隔离
说明 CORP 响应头的三种策略(same-origin/same-site/cross-origin),如何控制跨源资源嵌入与协作 COEP,实现更强的隔离与安全治理,并提供示例与验证。
DNS CAA记录治理(issue/issuewild/iodef)最佳实践
通过治理DNS CAA记录的issue/issuewild与iodef,限制证书颁发者范围并配置违规报告通道,提升域证书安全与可审计性。
DNS over HTTPS(DoH)与DNS安全策略最佳实践
通过DoH与DNS安全策略实现加密解析与隐私保护,结合解析器白名单与缓存治理,构建可验证的DNS安全基线。
Document Policy:禁用不推荐特性与兼容治理
说明 Document Policy 响应头的配置,用于禁用或限制不推荐特性(如 `document.write`),在站点层面推动兼容与性能治理,提供示例与参考。
Fetch Metadata 请求头实践:防跨站请求伪造与滥用
说明 Fetch Metadata 的请求头含义与服务器端防护策略,用最小代价识别跨站与非同源请求,降低 CSRF 与投毒风险。
Fetch Metadata 防护:Sec-Fetch 系列头的资源隔离策略
总结 Fetch Metadata(Sec-Fetch-*)请求头的意义与用法,给出在服务端实施资源隔离策略的工程建议,作为 CSRF/XSSI 的防御补强。
