路多辛-CSDN博客

原创 Kubernetes 中 Pod 访问 API Server 的权限控制机制详解

在 Kubernetes 的设计理念中，确保对集群资源的安全访问是至关重要的。当部署在 Kubernetes 中的服务需要与 API Server 交互时，Kubernetes 也是采用了基于角色的访问控制（RBAC）机制来管理服务调用权限的范围的。通过 RBAC，管理员可以控制哪个服务可以访问哪些资源以及可以执行什么操作。这个机制会涉及到几个关键概念：ClusterRole、ClusterRoleBinding、Role、RoleBinding 和 ServiceAccount。

2025-03-01 16:21:21 943

原创实现单点登录到底该选哪种 SSO 协议？

SSO（Single Sign-On, 单点登录）是一种身份验证机制，用户通过一次登录即可访问多个相关但独立的软件系统，而无需再次输入用户名和密码。不同的 SSO 协议有不同的工作原理和应用场景。本文介绍的 SSO 协议之前都写过专门的文章进行了详细讲解，本文主要是做对比讲解，不会讲解细节，想了解细节的同学可以到我的文章目录里去查找到对应文章进行阅读。

2025-01-18 10:50:27 1065

原创网络身份认证协议 Kerberos 详解

Kerberos 是一种网络认证协议，利用对称密钥加密技术为客户端和服务器之间的通信提供强身份验证。Kerberos 最初由麻省理工学院开发，作为 Athena 项目的一部分，旨在增强分布式计算环境中的安全性。如今，Kerberos已成为许多企业级应用中实现单点登录（SSO）的方案之一。

2025-01-12 08:26:15 1139

原创使用 SAML 2.0协议需要注意的安全问题

SAML（Security Assertion Markup Language）2.0 是用于在不同安全域之间交换身份验证和授权数据的开放标准。通过 SAML 2.0 协议，服务提供商（SP, Service Provider）可以信任并依赖身份提供商（IdP, Identity Provider）的身份验证结果，为用户提供单点登录（SSO, Single Sign-On）体验。然而，在使用 SAML 2.0的过程中，如果配置不当或者安全性校验没做好，可能会导致严重的安全隐患。

2025-01-07 21:20:46 1047

原创到底该如何理解事件驱动编程？

事件驱动编程（Event-Driven Programming, EDP）是计算机编程领域一种常见的编程范式，将程序的执行流程构建为一系列由外部或内部事件触发的函数调用，强调程序的执行流程由事件的发生来决定。这种模型与传统的顺序执行程序不同，在顺序执行中，指令按照代码中规定的顺序依次执行。事件驱动模式是等待特定事件的发生，然后根据该事件执行相应的代码块。这些事件可以是用户输入、网络数据包到达、文件系统变化、计时器到期等。

2025-01-04 10:33:49 1051

原创轻量级通信协议 JSON-RPC 2.0 详解

JSON-RPC (JavaScript Object Notation - Remote Procedure Call) 是一种轻量级的远程过程调用协议，使用 JSON（JavaScript 对象表示法）作为数据格式。JSON-RPC 2.0 是该协议的最新版本，在 1.0 版本的基础上增加了一些特性，如错误代码标准化、批量请求支持和无响应的通知。JSON-RPC 的设计原则是简单性和互操作性，旨在为不同编程语言之间提供一种方便的方法来执行远程过程调用。

2025-01-01 09:00:24 2512

原创 IDE 强大功能背后的 Language Server Protocol 详解

IDE（Integrated Development Environment，集成开发环境）在软件开发过程中发挥着至关重要的作用，不仅提供了代码编辑的基本功能，还集成了代码补全、语法高亮、错误提示、代码导航等一系列高级特性，极大地提升了开发效率。这些高级特性的实现通常依赖于特定的语言和服务端的支持，每当适配一种新语言，就需要为这个语言实现单独的插件或扩展来提供这些特性。这种状况不仅增加了开发者的负担，也限制了跨平台和跨语言的协作。

2024-12-28 20:44:10 1820 3

原创功能很强大的单点登录协议 SAML 2.0详解

SAML 2.0（Security Assertion Markup Language 2.0，安全断言标记语言 2.0）是一种基于 XML 的开放标准，用于在不同安全域之间交换身份验证和授权数据。通过 SAML 2.0，用户可以在一个系统中进行身份验证后将身份验证信息传递给其他系统，而无需再次输入登录凭证。SAML 2.0是 SAML 规范的第二个主要版本，于2005年发布，主要提高了安全性和互操作性。服务提供者 (Service Provider, SP): 需要验证用户身份的应用或服务。

2024-12-23 22:31:39 1981

原创实现客户端真实 IP 透传的协议 PROXY protocol 详解

PROXY protocol 是一种用于在代理服务器和后端服务器之间传输客户端连接信息的协议，旨在解决由于使用代理而导致的真实客户端信息丢失的问题。

2024-12-14 11:13:09 1842 1

原创单点登录解决方案 CAS（Central Authentication Service）详解

Central Authentication Service（中央认证服务，简称 CAS）是一个开源的企业级单点登录（Single Sign-On, SSO）解决方案，主要用于 Web 应用系统，旨在为用户提供跨多个应用程序和服务的无缝身份验证体验。通过 CAS，用户在一个地方进行身份验证，然后可以无缝地访问多个相关但独立的软件系统，而无需再次进行身份验证。

2024-12-02 21:37:55 1064

原创 Go 工具链详解（八）：go telemetry

Go 1.23 版本的工具链提供一个新工具——telemetry，用于收集 Go 工具链的使用和故障统计数据，以帮助 Go 团队了解工具链的使用情况和运行状态，从而进行改进和优化。

2024-11-21 07:10:42 1167

原创 OpenID Connect 和 OAuth 2.0 有什么不同？

在理解 OpenID Connect（OIDC）和 OAuth 2.0 之间的区别之前，再回顾下它们各自的基本概念。

2024-11-05 22:27:54 844

原创你竟然还不了解 LDAP？

LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）是用于访问和管理目录服务的一种开放协议，基于 X.500标准但简化了 X.500的复杂性，更易于实现和部署。LDAP 的主要目的是为了快速查询和访问用户信息，如用户名、密码、电子邮件地址或打印机连接等静态数据。LDAP 采用客户端/服务器模式，客户端通过 LDAP 协议与服务器进行通信、查询和修改目录中的信息。

2024-11-03 19:19:02 854

原创一文讲清楚 OpenID Connect 支持的三个授权流程

OpenID Connect 支持多种授权流程（Authorization Grant Types），用于实现在不同场景下的授权和身份认证。在开始讲解前，再罗列一下 OpenID Connect 中的几个参与方，在正文中使用的关键概念一定要和这里的对齐，千万不要按照自己认为的意思去理解。

2024-10-31 16:31:28 801

原创都知道OAuth 2.0了却还不知道OpenID Connect？

OpenID Connect (OIDC，下文讲解中都使用这个简称) 是基于 OAuth 2.0 授权协议构建的一种身份验证协议，为第三方应用程序提供了一种获取、验证和利用用户身份信息的方法，旨在简化和标准化用户身份验证的过程。与传统的身份验证方法相比，OIDC 提供了一种更加安全、灵活且易于集成的解决方案。在深入讲解之前，先看下身份验证和授权这两个概念。

2024-10-23 22:45:50 763

原创一文讲清楚 OAuth 2.0 支持的四个授权流程

OAuth 2.0协议支持多种授权流程（Authorization Grant Types），用于实现在不同场景下的授权。在开始讲解前，再罗列一下 OAuth 2.0 中的几个参与方，在正文中使用的关键概念一定要和这里的对齐，千万不要按照自己认为的意思去理解。

2024-10-20 17:18:12 1077

原创你是否真的弄懂了 OAuth 2.0？

OAuth 2.0（Open Authorization 2.0，开放授权 2.0）是被广泛使用的一种开放的标准授权协议，用于授权一个应用程序访问用户在另一个应用程序上的受保护资源，而无需共享用户的访问凭证（如用户名和密码）。OAuth 2.0 的设计不仅提高了安全性，并且简化了开发者的集成过程。OAuth 2.0 并不是一种身份验证协议，而是专注于授权，即允许一个系统在不暴露用户凭证的情况下获得对另一个系统的访问权限。

2024-10-19 11:04:09 805

原创前后端分离的情况下，后端接口有必要加CSP策略吗？

之前的写过一篇详细讲解 CSP 的文章《Web安全之Content Security Policy(CSP 内容安全策略)详解》，接下来再简单说一下什么是 CSP。通过 CSP，Web 开发者可以设置一组指令来限制哪些资源(如JavaScript、CSS、图片等)可以被加载，从哪些url加载，从而防止跨站脚本(XSS)、点击劫持(clickjacking)以及其他注入类攻击。CSP 的重要性在于能够有效地减少 Web 应用程序面临的安全风险，特别是在存在漏洞的情况下。

2024-09-18 22:13:03 783

原创如何选择 Kubernetes Deployment 的更新策略？

Kubernetes Deployment支持两种更新策略：滚动更新（RollingUpdate）和重建更新（Recreate），用户可以根据实际需求选择合适的更新策略。

2024-09-10 22:13:32 546

原创 Kubernetes中三种探针的作用你真的知道吗？

之前的一篇文章《Kubernetes中配置livenessProbe、readinessProbe和startupProbe》详细讲解了几种探针的配置方式，本文详细讲解一下几种探针的作用和关系，有很多同学可能没有深入地探究过这几种探针，相信本文会带给你很多不知道的知识。

2024-09-02 22:30:12 654

原创揭秘密码学中的经典角色 Alice 和 Bob

在密码学和信息安全领域，Alice 和 Bob 这两个名字的出镜率那是非常的高，已经成为了标准示例角色。随着密码学的普及，Alice 和 Bob 在教学材料、科研论文、书籍和讲座中被频繁使用。下面我们将探讨为什么 Alice 和 Bob 成为了这些领域的“常客”。

2024-08-25 16:13:45 943

原创能实现可算不可见的同态加密技术详解

同态加密（Homomorphic Encryption，HE）是一种满足密文同态运算性质的加密算法，可以在加密数据上直接执行特定的计算操作，而无需先解密数据。这种特性使得同态加密在保护数据隐私的同时，仍能进行有用的计算，非常适用于云计算和数据处理等领域。

2024-08-24 22:33:17 1939

原创你真的应该弄清楚 URI 和 URL 的区别

URI（Uniform Resource Identifier），统一资源标识符，是一个字符串，用于唯一标识互联网上的资源。URI 主要用于标识资源，而不管资源位于何处或如何访问。一个 URI 可能包含多种类型的标识信息，包括但不限于名称、位置、对象类型等。拿书来举个例子，假设一本书的标题是《计算机网络》，可以使用一个 URI 来唯一标识这本书，如 urn:isbn:978-0132671453，这里的 “urn:isbn：” 表示这是一个国际标准书号 (ISBN) 格式的 URI。

2024-08-24 08:22:00 826

原创 Web 安全之 RCE（Remote Code Execution）攻击详解

RCE（Remote Code Execution，远程代码执行）是一种常见的网络安全攻击方式，攻击者通过利用软件中的漏洞，在目标系统主机上远程执行任意代码。RCE 攻击通常发生在应用程序处理恶意输入时候，因未能正确校验和过滤输入数据，从而导致攻击者能够注入并执行恶意代码，进而控制目标系统，能够执行任何操作，包括窃取数据、安装恶意软件、修改系统配置等。

2024-08-06 22:43:16 1114

原创 Web 安全之 OOB（Out-of-Band）攻击详解

OOB 攻击利用了系统的正常通信路径之外的途径来传递恶意数据或指令，从而绕过系统的安全防护措施。这种攻击方式使得攻击者能够在不被常规监控系统检测到的情况下，实现对目标系统的入侵和控制。OOB 攻击的名称来源于“Out-of-Band”（超出常规通信路径），表明攻击者使用了与正常通信路径不同的方式来与目标系统交互。Out-of-Band 通信：指目标系统与外部服务之间的通信，这种通信通常不会直接反映在应用程序的响应中。例如，应用程序可能会在处理请求时向外部服务器发送 DNS 查询或 HTTP 请求。

2024-07-28 20:28:09 1090

golang echo框架获取request body和response body方法源代码

空空如也