jwt 标签归档

共 6 篇文章 · 返回首页

【Agent 身份与安全】Agent 身份谱系：从 API Key 到委托 Token

2026-06-18 | architecture · security | #agent #oauth #token-exchange #rfc8693 #delegation #jwt #iam #service-account

四代 Agent 身份模型：API Key、OAuth 用户 token、Service Account、RFC 8693 Token Exchange 委托链。拆解 subject_token、actor_token、act claim，以及与 JWT/JWKS 系列的交叉引用。

【身份与访问控制工程】IAM 全景：为什么这是高价值赛道

2026-06-13 | architecture · security | #iam #authentication #authorization #sso #oidc #oauth2 #scim #saml #jwt #passkey #rbac #abac #zanzibar #keycloak #zero-trust

从 2020 年 SolarWinds 到 2024 年 Okta 支持系统泄露，身份基础设施的安全失败反复证明一件事：IAM 不是 IT 支撑系统，而是安全架构的承重墙。本文建立现代 IAM 的全景地图——从认证协议、令牌体系、权限模型到身份治理与平台选型，给出 5 个贯穿全系列的核心问题。

【身份与访问控制工程】JWT、JWS、JWE、JWKS 一次讲透

2026-06-15 | architecture · security | #jwt #jws #jwe #jwk #jwks #jose #token #signature #encryption #key-rotation

JWT 不等于 JWS。JWS 是签名格式，JWE 是加密格式，JWK 是密钥表示，JWKS 是密钥集合——这四个规范共同构成了 JOSE（JSON Object Signing and Encryption）技术族。本文从 JOSE 体系全景出发，逐层拆解 JWT 的三段式结构、JWS 的签名算法选择（从 HS256 到 EdDSA 的选择逻辑）、JWE 的密钥加密与内容加密双层模型、JWKS 的密钥轮换与缓存策略。

【身份与访问控制工程】Session、Refresh Token 与吊销体系

2026-06-15 | architecture · security | #jwt #refresh-token #token-revocation #session-management #rfc7009 #rfc7662

JWT 的无状态设计带来了可扩展性，但让令牌吊销变成了系统性问题——签出去的 JWT 在到期之前全是活令牌。Refresh Token Rotation、Token Introspection、基于事件的吊销通知、撤销列表——这些机制构成了身份系统的'紧急刹车'，各自的成本、延迟和覆盖范围完全不同。本文拆解四种吊销机制的工程权衡。

【零信任安全架构】身份感知代理：Google IAP、Pomerium 与零信任的入口

2026-06-12 | architecture · security | #iap #identity-aware-proxy #pomerium #google-iap #oauth2-proxy #jwt #header-injection #zero-trust

身份感知代理（IAP）是零信任架构中用户进入企业资源的唯一入口——它取代了 VPN 的'拨入内网'模型，把每个 HTTP 请求的认证和授权检查放在资源前面。本文拆解 IAP 协议层的完整请求流、JWT 验证的严格性要求、Header Injection 的安全陷阱，以及 Pomerium/oauth2-proxy/Cloudflare Access 的实现差异。

JWT 简介、陷阱及建议

2026-04-03 | authentication | #jwt #authentication #web-security #oauth #token

JWT 完全指南：JSON Web Token 原理、安全陷阱与最佳实践建议