代码签名与发布制品完整性治理(Sigstore-Cosign-公钥轮换)最佳实践
以哈希绑定与签名校验保障发布制品完整性,并通过密钥轮换与双证书策略提升供应链可信度。
轮换
OPFS 分块加密与密钥轮换访问控制
`title: OPFS 分块加密与密钥轮换访问控制``categories: Web 开发/前端/数据管理``keywords: OPFS,分块加密,密钥轮换,AES-GCM,访问控制``description: 对 OPFS 文件进行分块加密并记录块级密钥版本,实现逐步轮换与访问控制,降低安全风
IndexedDB 加密存储与密钥轮换实践
在写入 IndexedDB 前进行 AES-GCM 加密并记录密钥版本,提供密钥轮换与数据迁移的端到端示例。
gRPC mTLS 证书管理与轮换实践(2025)
gRPC mTLS 证书管理与轮换实践(2025)mTLS 保证服务间机密性与身份校验,证书治理是关键。一、信任链与签发CA 与中间证书:分层签发与最小暴露面。SPIFFE/SVID:为服务分配可验证身份。二、轮换与撤销轮换策略:到期前滚动更新,双证书并存过渡。撤销:CRL/OCSP 或平台撤销机制
Scoped令牌泄露应急与强制轮换治理(检测-吊销-回退)最佳实践
通过泄露检测与只读权限策略,快速吊销与强制轮换作用域令牌,并在异常时执行回退,保障供应链安全。
OAuth2 令牌轮换与设备码流程实践(2025)
OAuth2 令牌轮换与设备码流程实践(2025)令牌轮换降低长期令牌泄露风险,设备码流程适配无浏览器设备。一、令牌轮换短期 Access Token + 可轮换 Refresh Token。轮换策略:每次使用后更新并废弃旧令牌。二、设备码流程设备码:设备展示代码,用户在第二屏确认。安全:限制有效期
OAuth 2.1 授权码 + PKCE 与刷新令牌轮换(安全实践与实现)
采用授权码+PKCE并启用刷新令牌轮换的安全实践,涵盖客户端与服务端实现、参数选择与验证方法,降低令牌泄露与重放风险。
OIDC PKCE 与刷新令牌轮换(2025)
OAuth 2.1/OIDC PKCE 与刷新令牌轮换(2025)一、授权与 PKCE授权码模式:前端发起授权,服务端交换令牌;对公开客户端强制 `PKCE`(S256)。代码验证:生成 `code_verifier` 与 `code_challenge`,校验防劫持。范围:按最小权限设置 `sco
KMS密钥轮换与Envelope Encryption最佳实践
使用Envelope Encryption实现数据加密,包含数据密钥生成与AES-GCM加密、数据密钥用主密钥(CMK)包裹、密钥轮换与元数据管理,附加解与轮换示例与参数校验。
"JWT 与 JWK 密钥轮换与 RS256 验证实践"
"采用 JWK 进行密钥轮换与 RS256 验证,覆盖 JWK 拉取、kid 选择、签名验证与安全注意事项。"
