HTTP 401 Unauthorized: What It Means and How to Fix It
A 401 Unauthorized error means the request lacks valid authentication. Here is what causes it, how it differs from 403, and how to fix it for OAuth, JWT, Basic Auth, and API key flows.
HTTP 403 Forbidden: What It Means and How to Fix It
A 403 Forbidden error means the server understood your request but refuses to fulfil it. Here is what causes it and how to fix it on Nginx, Apache, Cloudflare, and AWS.
HTTP 504 Gateway Timeout: What It Means and How to Fix It
A 504 Gateway Timeout means a proxy waited too long for a response from the upstream server. Here is what causes it, how it differs from 502, and how to fix it on Nginx, Cloudflare, and AWS.
Supabase Auth 與 Authgear 在 Next.js:該選哪一個?
Supabase Auth 與 Authgear 都能用於 Next.js App Router 正式環境,但兩者對驗證的設計哲學截然不同。本篇提供務實、平衡的對照、功能表、雙邊設定程式範例,以及何時該選哪一家的決策指引。
Next.js 工作階段管理:Cookie、JWT 與伺服器端 Session(2026)
Next.js 的工作階段管理比傳統 SSR 應用更細膩。本篇說明具狀態與無狀態工作階段、安全 Cookie 屬性、以 jose 簽署 JWT、權杖輪替與滑動過期,以及如何在 Server Components、Route Handlers 與 Middleware 讀取工作階段資料。
Next.js 驗證:App Router 完整指南(2026)
App Router 預設把驗證搬到伺服器——但「搬到伺服器」不代表「已經解決」。本篇從選型到第一個受保護的 Server Component,涵蓋完整脈絡,並附可運行的 TypeScript 範例。
Next.js API Route 驗證:如何保護你的端點
Next.js 的 API route 與頁面保護不同——Route Handler 必須回傳 HTTP 狀態碼,而不是重新導向。本篇涵蓋工作階段 Cookie、Bearer 權杖、RBAC 與 Server Actions,並附完整 TypeScript 範例。
Next.js 安全最佳實踐(2026)
Next.js 已從單純的 React 框架成長為全端平台——能力越強,攻擊面也越大。App Router、Server Components 與 Server Actions 讓驗證邏輯、資料庫查詢與業務規則和 UI 寫在同一套程式碼裡。
Next.js Middleware 驗證:在 App Router 保護路由
了解 Next.js middleware 如何運作、如何設定 matcher、在 Edge 驗證 JWT,以及如何重新導向未驗證使用者——並涵蓋 CVE-2025-29927 繞過問題。
如何為 Next.js App Router 加入 JWT 驗證(2026)
以正確方式在 Next.js App Router 加入 JWT 驗證:httpOnly Cookie、以 jose 在 Edge middleware 驗證,以及在 Server Components 讀取 JWT claims。
雙因素驗證要花多少錢?2026 定價指南
2FA 不是單一價格——SMS OTP、WhatsApp OTP、TOTP 與通行密鑰的成本結構差很大。以下是各規模下的實際成本。
什麼是 SMS Pumping 攻擊?如何偵測與防範簡訊話費詐欺
SMS pumping 是機器人對你的 OTP 端點狂發假請求到高費率號碼——帳單由你買單。說明原理、如何從紀錄發現,以及如何阻擋。
SMS OTP 與 WhatsApp OTP:哪種驗證方式較適合?
SMS OTP 像安全的預設——但使用者一多,成本快速堆疊。多數市場中 WhatsApp OTP 可便宜 70–90%。以下為直接比較。
Node.js 驗證安全最佳實務
驗證是應用程式的正門——在 Node.js 中,做錯往往比想像中容易。本指南逐步說明建置或稽核驗證系統時,每位開發者都應遵循的 Node.js 安全最佳實務。
驗證方案:現代應用完整指南
選對驗證方案是 App 最關鍵的技術決策之一。本指南涵蓋主要驗證類型、自建/採購框架,以及主流平台對照。
HTTP 502 Bad Gateway:意義與排除方式
502 Bad Gateway 表示閘道或代理伺服器從上游收到無效回應或無回應。說明常見原因、診斷步驟與修正方式。
Webhooks 與 API 有何不同?
現今多數產品會整合付款、身分、訊息與分析工具。串接主要靠兩種模式:API 與 webhooks。
如何用 WebAuthn 實作通行密鑰:開發者完整指南
實用的通行密鑰與 WebAuthn 開發指南:原理、註冊與登入流程、JavaScript 範例、最佳實踐與測試建議。
開源 WebAuthn 與 FIDO2 驗證:通行密鑰優先應用中的 Authgear、Keycloak 與 Hanko
比較主流開源 WebAuthn/FIDO2 方案,加速無密碼策略。評估 Authgear、Keycloak 等平台在安全與應用擴展性上的取捨。
金融與政府組織的自行託管 MFA:地端驗證,擺脫 SaaS 綁定
金融機關與政府單位需要可掌控資料的現代 MFA。自行託管 Authgear 可降低 SaaS 風險,兼顧安全、合規與基礎建設自主性。
什麼是 FIDO2?FIDO 驗證完整指南
FIDO2 是開放標準,讓使用者無需密碼即可登入。說明 FIDO2 為何、如何運作、與 FIDO U2F 的比較,以及通行密鑰如何建構其上。
什麼是 .well-known/openid-configuration?開發者指南
說明 .well-known/openid-configuration 是什麼、探索文件每個欄位的意義,以及如何取得 Google、Okta、Azure、Keycloak 或自有 OIDC 提供者的文件。
SSL 與 TLS 有何不同?為什麼重要?
SSL 已淘汰,伺服器實際用的是 TLS——但為什麼大家仍說 SSL?了解歷史、擊垮 SSL 的攻擊,以及現在該用什麼。
什麼是 SSL 憑證?開發者指南
SSL 憑證做兩件事:加密連線並驗證伺服器身分。了解運作方式、三種憑證類型,以及憑證內含哪些欄位。