-
权限体系之-22-passport 和 sso 平台的区别与关系?
为什么感觉类似? 你这个“感觉”其实非常准,而且问到了一个很多架构设计都会踩坑的核心分裂点。 我直接先给结论: 你之所以觉得这些是 SSO 的事,是因为: 在很多公司里,Passport 和 SOO 实际上被混在了一起。 但从架构上看,它们的关注点是不同的,只是高度重叠。 一句话帮你拆开它们 用最直白的方式区分: ✅ Passport 关注的是: “我是谁,...2025-11-20 06:12:33 | plateform
-
权限体系之-21-passport 这里的协议标准不实现就不能 sso 了?
核心对比 能力维度 UMS Passport 用户管理 ✅ ✅ 登录认证 ❌ ✅ Token 管理 ❌ ✅ 会话控制 ...2025-11-20 06:12:33 | plateform
-
权限体系之-20-passport 这里的协议标准是什么
核心对比 能力维度 UMS Passport 用户管理 ✅ ✅ 登录认证 ❌ ✅ Token 管理 ❌ ✅ 会话控制 ...2025-11-20 06:12:33 | plateform
-
权限体系之-19-passport 登录安全之 passkey
Passkey(通行密钥)是什么? Passkey(通行密钥)是一种新兴的无密码身份认证技术,旨在取代传统的用户名+密码登录方式。它由FIDO联盟(Fast Identity Online)推动开发,该联盟包括苹果、谷歌、微软等科技巨头。简单来说,Passkey使用非对称加密(公钥和私钥对)来验证用户身份:公钥存储在服务器端,私钥安全保存在用户设备(如手机或电脑)的硬件安全模块中(例如iP...2025-11-20 06:12:33 | plateform
-
权限体系之-13-passport 登录安全密码泄露检测?Have I Been Pwned (HIBP)
检查是否使用已泄露密码 “检查是否使用已泄露密码”(即:禁止用户注册/改密码时使用已经在黑网上出现过的密码)是 2025 年最划算的安全措施之一。 它能直接挡掉 30%~60% 的凭证填充(Credential Stuffing)攻击,成本几乎为零。 1. 最推荐的开源/免费方案:Have I Been Pwned (HIBP) 官网:https://haveibeenpwned.co...2025-11-20 06:12:33 | plateform
-
权限体系之-13-passport 登录安全之 session 绑定设备、agent、ip 等信息
Session 层:防止“登录态被劫持” 我们把 Session 层防劫持(会话绑定设备特征) 这块拆得既工程化又可落地:原理、做法、数据结构、实现要点、误报处理、补救与审计、以及常见陷阱和防御策略。 目标是让你的 Passport 登录态在现实网络环境下既安全又不至于把用户折腾死。 先一句话概括: 通过把 session/token 与设备特征(User-Agent、IP、设备指纹、...2025-11-20 06:12:33 | plateform
-
权限体系之-13-passport 登录安全之提升 session 会话安全(HttpOnly/Secure/SameSite + 登录后失效旧会话)
会话安全 下面把“会话安全”这一块拆得很细,全部围绕真实攻击场景来讲,每一条都告诉你攻击者怎么偷/怎么用,以及具体怎么彻底堵死。 1. Cookie 属性三件套:HttpOnly + Secure + SameSite(重点中的重点) 属性 写法(Node.js/Express 示例) 能防什么攻击 如果不设会怎样(真实...2025-11-20 06:12:33 | plateform
-
权限体系之-154-应用管理平台 landpage
《应用中心 Landpage(宣传官网)详细设计 + 交互文档》 此文档内容面向企业级 IAM / App-Manage 平台,风格现代、美感、专业,适合作为官网首页或者产品 Landing Page。 下面内容包括: 页面整体定位 受众分析 信息架构(IA) 详细页面模块设计(含文案示例) 交互说明(动效、滚动行为、组件) 视觉与品牌规范 SEO &am...2025-11-20 06:12:33 | plateform
Echo Blog
江湖无名 安心练剑