"WebAuthn/FIDO2 无密码认证最佳实践"
"以WebAuthn/FIDO2为基础,结合Passkey与设备绑定流程,提供注册与登录挑战验证的完整实现与安全治理建议。"
密码
Credential Management API:密码凭据存储与自动填充
使用 Credential Management API 管理密码凭据的获取与存储,改善登录体验并与自动填充集成,提供隐私与回退策略。
"无密码登录:WebAuthn/Passkeys 的原理与落地"
"阐述 WebAuthn/Passkeys 的非对称密钥认证原理、浏览器与平台支持与安全优势,给出注册/登录流程与工程注意事项。"
WebAuthn 无密码登录:PublicKeyCredential 创建与获取实践
使用 WebAuthn 在 HTTPS 环境下完成无密码登录流程,示例涵盖凭据创建与获取、关键参数选型与安全注意事项。
密码重置链接安全治理(一次性/过期/设备绑定)最佳实践
通过一次性密码重置链接与过期窗口、设备指纹绑定与来源白名单,降低链接被滥用与重放风险,保障账户安全。
密码哈希与凭证存储(PBKDF2-参数校验与旋转)最佳实践
使用PBKDF2构建安全的密码哈希与存储格式,包含盐与迭代参数校验、pepper支持、验证与参数旋转方案,附实现示例与验收清单。
"密码哈希与凭证存储(PBKDF2/Scrypt/Pepper)最佳实践"
"以PBKDF2/Scrypt为基础,结合唯一Salt与全局Pepper、版本化参数与泄露响应,构建安全可审计的密码哈希与凭证存储方案。"
WebAuthn无密码登录与挑战响应(FIDO2/可信来源)最佳实践
通过WebAuthn挑战响应与可信来源校验、rpId与credential绑定,落地安全的无密码登录流程并防止重放与来源伪造。
WebAuthn无密码登录与Passkeys落地实践
基于 WebAuthn/Passkeys 实现无密码登录,覆盖 RP/Origin/Challenge 等关键校验,提供注册/认证流程与可验证的安全参数。
Magic Link无密码登录治理(签名/一次性/过期窗口)最佳实践
通过HMAC签名的一次性Magic Link与过期窗口、origin白名单校验,安全落地无密码登录并阻断链接滥用与重放。
