代码签名与发布制品完整性治理(Sigstore-Cosign-公钥轮换)最佳实践
以哈希绑定与签名校验保障发布制品完整性,并通过密钥轮换与双证书策略提升供应链可信度。
轮换
OPFS 分块加密与密钥轮换访问控制
`title: OPFS 分块加密与密钥轮换访问控制``categories: Web 开发/前端/数据管理``keywords: OPFS,分块加密,密钥轮换,AES-GCM,访问控制``description: 对 OPFS 文件进行分块加密并记录块级密钥版本,实现逐步轮换与访问控制,降低安全风
IndexedDB 加密存储与密钥轮换实践
在写入 IndexedDB 前进行 AES-GCM 加密并记录密钥版本,提供密钥轮换与数据迁移的端到端示例。
SPIFFE/SPIRE 工作负载身份(SVID、mTLS 与轮换)
使用 SPIFFE/SPIRE 为工作负载签发身份(SVID),在网格与服务间实施 mTLS 与证书轮换,并提供可验证的配置与演练方法。
12-Factor配置与密钥管理:环境变量、Vault与KMS
以 12-Factor 为基础,结合 Vault/KMS 管理密钥与配置,保障安全与可审计。
OAuth2 令牌轮换与设备码流程实践(2025)
OAuth2 令牌轮换与设备码流程实践(2025)令牌轮换降低长期令牌泄露风险,设备码流程适配无浏览器设备。一、令牌轮换短期 Access Token + 可轮换 Refresh Token。轮换策略:每次使用后更新并废弃旧令牌。二、设备码流程设备码:设备展示代码,用户在第二屏确认。安全:限制有效期
OAuth 2.1 授权码 + PKCE 与刷新令牌轮换(安全实践与实现)
采用授权码+PKCE并启用刷新令牌轮换的安全实践,涵盖客户端与服务端实现、参数选择与验证方法,降低令牌泄露与重放风险。
OIDC PKCE 与刷新令牌轮换(2025)
OAuth 2.1/OIDC PKCE 与刷新令牌轮换(2025)一、授权与 PKCE授权码模式:前端发起授权,服务端交换令牌;对公开客户端强制 `PKCE`(S256)。代码验证:生成 `code_verifier` 与 `code_challenge`,校验防劫持。范围:按最小权限设置 `sco
Kubernetes Secrets与密钥管理:密文、轮换与外部密钥
规范 Kubernetes Secrets 的存储与加密,实施轮换与外部密钥集成,保障集群内的机密安全。
KMS密钥轮换与Envelope Encryption最佳实践
使用Envelope Encryption实现数据加密,包含数据密钥生成与AES-GCM加密、数据密钥用主密钥(CMK)包裹、密钥轮换与元数据管理,附加解与轮换示例与参数校验。
