安全认证与授权:OAuth2/OIDC与JWT最佳实践
面向现代 Web 与移动应用的认证与授权实践,覆盖令牌生命周期、声明校验与最小权限原则。
认证
WebAuthn 无密码认证实践(2025)
WebAuthn 无密码认证实践(2025)WebAuthn 利用公钥-私钥对实现无密码登录,抵御钓鱼与重放。一、注册与认证注册:生成公钥凭证,服务端保存公钥与元数据。认证:挑战/签名校验,绑定域与设备,防钓鱼。二、认证器与兼容平台认证器:设备内置(Passkey),体验好但设备绑定。漫游认证器:安
OAuth2的PKCE与设备码授权:安全与适配场景
解析 PKCE 与设备码授权在不同客户端下的安全增强与适配场景,降低授权码拦截与弱终端风险。
