个人简介

Echo Blog

江湖无名 安心练剑
  • 权限体系之-19-passport 登录安全之 passkey
    Passkey(通行密钥)是什么? Passkey(通行密钥)是一种新兴的无密码身份认证技术,旨在取代传统的用户名+密码登录方式。它由FIDO联盟(Fast Identity Online)推动开发,该联盟包括苹果、谷歌、微软等科技巨头。简单来说,Passkey使用非对称加密(公钥和私钥对)来验证用户身份:公钥存储在服务器端,私钥安全保存在用户设备(如手机或电脑)的硬件安全模块中(例如iP...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-13-passport 登录安全密码泄露检测?Have I Been Pwned (HIBP)
    检查是否使用已泄露密码 “检查是否使用已泄露密码”(即:禁止用户注册/改密码时使用已经在黑网上出现过的密码)是 2025 年最划算的安全措施之一。 它能直接挡掉 30%~60% 的凭证填充(Credential Stuffing)攻击,成本几乎为零。 1. 最推荐的开源/免费方案:Have I Been Pwned (HIBP) 官网:https://haveibeenpwned.co...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-13-passport 登录安全之 session 绑定设备、agent、ip 等信息
    Session 层:防止“登录态被劫持” 我们把 Session 层防劫持(会话绑定设备特征) 这块拆得既工程化又可落地:原理、做法、数据结构、实现要点、误报处理、补救与审计、以及常见陷阱和防御策略。 目标是让你的 Passport 登录态在现实网络环境下既安全又不至于把用户折腾死。 先一句话概括: 通过把 session/token 与设备特征(User-Agent、IP、设备指纹、...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-13-passport 登录安全之提升 session 会话安全(HttpOnly/Secure/SameSite + 登录后失效旧会话)
    会话安全 下面把“会话安全”这一块拆得很细,全部围绕真实攻击场景来讲,每一条都告诉你攻击者怎么偷/怎么用,以及具体怎么彻底堵死。 1. Cookie 属性三件套:HttpOnly + Secure + SameSite(重点中的重点) 属性 写法(Node.js/Express 示例) 能防什么攻击 如果不设会怎样(真实...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-154-应用管理平台 landpage
    《应用中心 Landpage(宣传官网)详细设计 + 交互文档》 此文档内容面向企业级 IAM / App-Manage 平台,风格现代、美感、专业,适合作为官网首页或者产品 Landing Page。 下面内容包括: 页面整体定位 受众分析 信息架构(IA) 详细页面模块设计(含文案示例) 交互说明(动效、滚动行为、组件) 视觉与品牌规范 SEO &am...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-153-应用管理平台 ROADMAP
    ROAD-MAP 该路线图完全以 App-Manage 作为 IAM 的底层能力来设计,确保其作为整个身份体系的“应用元数据中心(Application Registry)”。 内容组织结构: 顶层原则(为什么这样分层) App-Manage 平台 Roadmap 总览(四阶段) 各阶段详细功能拆解 与审计 / IAM / 资源中心的依赖关系 总结版甘特图(文字版...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-152-应用管理平台关系与 CMDB 的关系
    与 cmdb 的区别? 在大多数中大型企业里,“应用(App/Service)数据是否由 CMDB 直接提供”并不是一个绝对统一的模式,而是取决于企业的 IT 架构成熟度、组织结构和技术治理方式。 下面我给出一个行业通用结论 + 三种主流模式对比,帮助你定位 IAM 平台中 App 管理的合理边界。 一、行业通用结论 App 数据通常来自 CMDB,但不等于“完全复用 CMDB ...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-151-应用管理平台关系
    企业级 IAM 平台中的 App-Manage 其他系统的关系拓扑图(mermaid)+调用关系流程图 下面提供两部分内容,均为 可直接使用的 mermaid 图: 企业级 IAM 平台中 App-Manage 与其他系统的关系拓扑图(系统视角) App 注册 → 接入 → 使用 的调用关系流程图(时序图) 整体设计对标大型企业 IAM 架构(Okta/AzureAD/阿里...
    2025-11-20 06:12:33 | plateform