前段时间在 INFINI Labs（极限实验室）的视频里第一次系统看到 Shodan 上的 Elasticsearch（以下简称 ES）暴露面：大量实例没有任何...

在前面的文章里，我们的 Todo API 就像一栋没有大门的房子，任何人都可以随意进出（调用接口）。这在企业级应用中是绝对不允许的。我们需要一套机制：

这次复现的目标很简单：把一个内部后台从本地账号登录，改成通过 MLiev IAM 认证中心统一登录。

这个Spring Boot安全认证与授权实现提供了一个企业级的解决方案，涵盖了从基础概念到具体实现的各个方面。

魔法链接（Magic Link）作为主流无密码认证方式，以邮箱为信任载体，通过一次性、限时、高熵令牌实现免密登录，被广泛用于 SaaS、教育、金融等场景。但其安...

Session认证是基于HTTP无状态特性的解决方案，核心是服务端保存用户会话状态，客户端通过Cookie携带SessionID进行身份关联。其本质是服务端状态...

随着区块链技术的普及与去中心化金融（DeFi）生态的扩张，针对加密货币用户的网络犯罪呈现出高度专业化与跨国化的特征。其中，“授权钓鱼”（Approval Phi...

当地时间2025年5月22日，美国联邦通信委员会（FCC）以4:0表决通过了新规定，以阻止和消除中国和其他不值得信任的行为者对进入美国销售的无线设备检测认证授权...

随着网络犯罪即服务（CaaS）模式的成熟，网络钓鱼攻击已从分散的个体行为演变为高度组织化、工业化运作的全球性威胁。2026年3月，由欧洲刑警组织（Europol...

今天这篇文章主要讲什么是数字签名以及它的关键定义，以及密码学中常见容易混淆的知识。

在复杂的数据网络中，如何精准控制每一个终端的进入？RADIUS（Remote Authentication Dial-In User Service，远程用户拨...

2026年初，加密货币领域的网络犯罪呈现出显著的结构性变化。根据安全数据分析，涉及“签名钓鱼”（Signature Phishing）的资金损失在单月内激增超过...

这是一次关于为智能体驱动的API构建最小授权层的实践探索——记录了我的实验过程和概念验证。