【金融科技工程】07 卡组织收单链路:银联/Visa/Mastercard、ISO 8583、ISO 20022 迁移
一笔刷卡交易从 POS/网关到发卡行再到清算的全链路剖析:授权、认证(3DS)、清算、结算、争议与对账;ISO 8583 报文拆解、BIN/PAN/Token、EMV 3DS、PCI DSS 与 HSM;附 Python/Go 构造 0100 报文示例。
authorization 标签归档
共 10 篇文章 · 返回首页
【身份与访问控制工程】OAuth 2.1 与 PKCE:现代授权主路径
从一次 SPA 安全事故出发,系统梳理 OAuth 2.1 相对 2.0 的收敛动作、PKCE 的密码学原理、授权码流程的完整参数细节,以及 DPoP、PAR、JAR、RAR 等现代扩展与常见攻击面
【身份与访问控制工程】RBAC、ABAC、ReBAC:权限模型怎么选
从角色爆炸问题切入,深入对比 RBAC(NIST 四级模型)、ABAC(XACML)、ReBAC(Zanzibar 启发)三种权限模型的数据结构、SQL 建模、策略表达能力与工程取舍,给出混合模型实践与选型决策树。
【身份与访问控制工程】Zanzibar 风格权限系统
深入解析 Google Zanzibar 论文(USENIX ATC 2019)的核心设计:Relation Tuple、Namespace、Userset Rewrite,一致性模型(Zookies)与开源实现 SpiceDB、OpenFGA、Ory Keto 的工程对比,以及适用与不适用场景。
【身份与访问控制工程】B2B SaaS 多租户权限设计
B2B SaaS 的权限问题远比 B2C 复杂:多个企业客户、各自的内部角色体系、跨租户协作、行列级数据权限、租户自助管理。本文从隔离模型出发,给出租户内 RBAC + 租户间 ReBAC 的混合方案、超级管理员设计、行级权限实现,以及 GitHub、Slack、Notion 的权限模型速览。
【身份与访问控制工程】API Gateway、BFF 与边界认证授权
API Gateway 能做粗粒度的认证鉴权,但细粒度授权必须下沉到服务层。本文梳理 Gateway/BFF/Service 三层认证职责边界,讨论 Token 验证位置选择、RFC 8693 Token Exchange、服务间身份传播(JWT/mTLS/SPIFFE),以及 Istio、Kong、APISIX 的认证授权能力对比。
【身份与访问控制工程】OPA、Cedar 与策略引擎落地
从 PDP/PEP/PIP/PAP 架构模型出发,深入对比 OPA/Rego 与 AWS Cedar 的设计哲学、策略语言能力、形式化验证、部署模式(sidecar/daemon/library),以及策略测试、版本化与治理的工程实践。
身份与访问控制工程
从 OIDC、OAuth 2.1、SAML、SCIM 到多租户权限、CIAM、PAM 与身份平台选型——系统拆解现代身份与访问控制的协议、架构与工程实践。
【系统架构设计百科】授权架构:RBAC、ABAC 与策略引擎
授权是安全架构的核心环节。本文从 RBAC 的角色爆炸问题出发,深入剖析 ABAC、ReBAC 与 Google Zanzibar 模型,并结合 OPA 策略引擎的集成实践,给出权限数据存储与缓存的工程方案。
以实例说明 OAuth2
OAuth2 授权协议详解:单点登录、第三方授权的实现原理与实战案例