CI/CD密钥最小化与短期凭证治理(OIDC-Federation-工作负载身份)最佳实践
通过 OIDC 联邦与短期凭证替代长期密钥,结合最小权限与时间窗口治理,降低CI/CD密钥泄露风险。
身份
FedCM 联合登录隐私与兼容:身份选择、权限提示与回退策略
使用 Federated Credential Management(FedCM)实现隐私友好的联合登录,覆盖身份选择与权限提示、浏览器兼容与回退策略,提供可验证的登录成功与用户体验指标
FedCM登录与身份提供方治理(providers/mediation/nonce)最佳实践
通过FedCM对身份提供方列表、mediation策略与nonce绑定进行治理,在浏览器端实现安全一致的联邦登录体验并降低钓鱼风险。
SCIM 用户供应与身份生命周期管理(2025)
SCIM 用户供应与身份生命周期管理(2025)SCIM 提供跨系统的身份对象管理与同步能力,适合企业级场景。一、模型与属性用户/组:统一属性模型与校验规则。角色与域:按组织与域管理角色与范围。二、供应与同步供应:创建/更新/禁用与删除的自动化流程。同步:变更事件驱动跨系统更新与审计。三、审计与合规
SPIFFE/SPIRE 工作负载身份(SVID、mTLS 与轮换)
使用 SPIFFE/SPIRE 为工作负载签发身份(SVID),在网格与服务间实施 mTLS 与证书轮换,并提供可验证的配置与演练方法。
Keycloak SSO与企业级身份集成实践
使用 Keycloak 构建企业级 SSO,集成 OIDC/SAML 身份源,配置 Realm/Client 与角色权限与令牌映射,并提供可验证的集成与安全策略。
OAuth2/OIDC PKCE安全实践
使用PKCE(S256)强化OAuth2/OIDC授权码流程,通过可验证的请求与令牌校验方法提升安全性与一致性。
SPIFFE/SPIRE 工作负载身份与 mTLS(SVID、Bundle 与验证)
使用SPIFFE/SPIRE为工作负载签发SVID并通过mTLS实现零信任身份校验,提供服务器与代理配置及端到端验证方法。
WebAuthn与Passkeys登录落地实践
使用WebAuthn与Passkeys实现无密码登录,提供可验证的前后端交互与签名校验流程,提升安全与体验。
