OAuth 2.1 授权码 + PKCE 与刷新令牌轮换(安全实践与实现)
采用授权码+PKCE并启用刷新令牌轮换的安全实践,涵盖客户端与服务端实现、参数选择与验证方法,降低令牌泄露与重放风险。
刷新
View Transitions API 无刷新页面过渡与导航体验优化实践
基于 View Transitions API 构建无刷新页面过渡与导航体验优化方案,在不破坏语义与可访问性的前提下验证对 INP/LCP 的提升。
JWT 安全与刷新策略(2025)
JWT 安全与刷新策略(2025)JWT 便于跨服务鉴权,但需在签发与存储与刷新上做严格治理。一、签发与校验算法与密钥:使用强算法与安全密钥管理;拒绝 `none` 算法。声明:`iss`/`aud`/`exp`/`iat`/`sub` 等完整声明校验。二、刷新与轮换短期 Access Token
JWT 安全实践(HS256 与 RS256、过期与刷新、无状态会话)
总结 JWT 在生产中的安全实践与配置建议,覆盖签名算法、过期与刷新策略、黑名单与无状态会话实现。
Navigation API 无刷新导航与视图过渡协作实践
基于浏览器原生 Navigation API 构建无刷新导航与路由拦截,结合 View Transitions 协作实现页面过渡与状态保留,并验证兼容性与性能收益。
