專題:身份驗證與登入系統設計
系統化整理身份驗證與登入系統設計,從帳號密碼、信箱驗證、Session、JWT、OAuth、SSO、MFA,到健保卡、自然人憑證、TW FidO 與高信任身份場景。
SunBathe Technical Garden
日沐SunBathe
從協定、瀏覽器到後端架構,整理給工程師的深度 Web 技術地圖。
279 篇文章/4 個深度系列/16 個主題
最新文章
全部文章 →
→
帳號密碼登入流程
從系統設計與面試角度整理帳號密碼登入流程,包含前端表單、後端驗證、密碼比對、Session/Token 建立、錯誤訊息、防帳號枚舉、防暴力破解、MFA 分流、稽核紀錄與常見安全坑。
防暴力破解與帳號保護
從系統設計與面試角度整理防暴力破解與帳號保護,包含 rate limit、login throttling、account lockout、CAPTCHA、credential stuffing、帳號枚舉、外洩密碼、MFA、風險式驗證、異常登入偵測與告警。
身份驗證、授權與身份識別的差異
從系統設計與面試角度整理 Authentication、Authorization、Identity Proofing 的差異,包含登入、信箱驗證、OAuth、OIDC、MFA、401/403、權限模型與常見混淆。
信箱驗證與手機驗證
從系統設計與面試角度整理信箱驗證與手機驗證,包含 verification token、驗證連結、Email OTP、SMS OTP、重寄、過期時間、重試限制、防暴力猜碼、帳號啟用、忘記密碼差異與安全取捨。
忘記密碼流程設計
從系統設計與面試角度整理忘記密碼流程,包含 reset token、通用回應、防帳號枚舉、token hash、短效單次使用、重設密碼、session 撤銷、通知、稽核紀錄與常見安全坑。
密碼如何安全儲存
從系統設計與面試角度整理密碼安全儲存,包含明文密碼風險、hash 與加密差異、salt、pepper、Argon2id、bcrypt、scrypt、PBKDF2、成本參數、舊 hash 遷移與資料外洩應對。
Access Token 與 Refresh Token
從系統設計與面試角度整理 Access Token 與 Refresh Token,包含短效 access token、長效 refresh token、refresh token rotation、reuse detection、token family、撤銷、登出、多裝置管理與安全取捨。