认证

1. 首页
2. 认证

OAuth2的PKCE与设备码授权：安全与适配场景

解析 PKCE 与设备码授权在不同客户端下的安全增强与适配场景，降低授权码拦截与弱终端风险。

安全 2026年02月13日 0 点赞 0 评论 10 浏览

OAuth2 DPoP：证明持有者令牌的客户端绑定

通过 DPoP 为访问令牌绑定客户端密钥，降低令牌盗用与重放风险，增强 OAuth2 安全性。

软件 2026年02月13日 0 点赞 0 评论 11 浏览

安全认证与授权：OAuth2/OIDC与JWT最佳实践

面向现代 Web 与移动应用的认证与授权实践，覆盖令牌生命周期、声明校验与最小权限原则。

安全 2026年02月13日 0 点赞 0 评论 11 浏览

WebAuthn 无密码认证实践（2025）

WebAuthn 无密码认证实践（2025）WebAuthn 利用公钥-私钥对实现无密码登录，抵御钓鱼与重放。一、注册与认证注册：生成公钥凭证，服务端保存公钥与元数据。认证：挑战/签名校验，绑定域与设备，防钓鱼。二、认证器与兼容平台认证器：设备内置（Passkey），体验好但设备绑定。漫游认证器：安

工程实践 2026年02月13日 0 点赞 0 评论 11 浏览

API网关选型：Nginx、Envoy与Kong的对比

对比三类主流网关的能力与扩展性，从路由、鉴权到可观测性给出工程选型建议。

API设计与管理 2026年02月14日 0 点赞 0 评论 12 浏览

WebSocket 认证与安全（JWT、Origin 校验、子协议与权限）

设计 WebSocket 的认证授权与安全策略，使用 JWT、Origin 校验与子协议控制权限，并提供验证方法。

安全 2026年02月13日 0 点赞 0 评论 12 浏览

Keycloak与Auth0对比：自建与托管身份选型

对比两类主流身份提供方在协议、定制与运维上的差异，指导自建与托管的选型决策。

软件 2026年02月12日 0 点赞 0 评论 12 浏览

JWKS与密钥轮换：OAuth/OIDC密钥管理

通过 JWKS 公钥集合与 `kid` 标识实现安全的密钥轮换与校验，保障令牌验证的长期可靠性。

安全 2026年02月12日 0 点赞 0 评论 12 浏览

OAuth2 Token Exchange：跨信任域令牌转换

通过令牌交换在跨信任域场景下实现令牌类型与主体转换，安全下放范围并统一审计。

软件 2026年02月13日 0 点赞 0 评论 13 浏览

JWT客户端断言与授权服务器认证（client_assertion）最佳实践

通过JWT客户端断言在令牌与授权端点认证客户端身份，校验`iss/sub/aud/exp/iat/jti`并验证签名，提升安全可信度。

安全 2026年02月12日 0 点赞 0 评论 13 浏览