資源中心

資源中心

掌握最新最佳實務、產品更新與專家觀點,協助你打造安全且流暢的使用者體驗。

常見 OAuth 2.0 授權類型與適用時機完整指南
工程

常見 OAuth 2.0 授權類型與適用時機完整指南

了解最常見的 OAuth 2.0 授權類型、運作方式與使用時機。這是一份面向開發與資安團隊的實務指南。

2026年1月5日
2026 最佳開源 Auth0 替代方案:安全且可自託管的選擇
產業

2026 最佳開源 Auth0 替代方案:安全且可自託管的選擇

探索 2026 年最佳開源 Auth0 替代方案。比較功能、部署模式、安全性與適用情境,協助團隊選出合適的身分平台。

2026年1月5日
如何從 Auth0 遷移到開源身分提供者
精選

如何從 Auth0 遷移到開源身分提供者

透過這份逐步指南,了解如何從 Auth0 遷移到開源身分提供者。內容涵蓋規劃、資料匯出、實作、SDK 更新、測試與上線最佳實務。

2025年12月16日
Demonstrating Proof-of-Possession (DPoP):現代 OAuth 安全完整指南
工程

Demonstrating Proof-of-Possession (DPoP):現代 OAuth 安全完整指南

了解 Demonstrating Proof-of-Possession(DPoP)是什麼、為何對安全 API 很重要,以及如何實作。內含開發者實作範例。

2025年12月10日
Base64 超好懂:如何編碼與解碼資料
工程

Base64 超好懂:如何編碼與解碼資料

了解 Base64 編碼如何運作、為何會被使用,以及如何安全編碼與解碼資料。含實務範例與免費線上 Base64 工具。

2025年12月3日
什麼是 SCIM Provisioning?它如何運作?
工程

什麼是 SCIM Provisioning?它如何運作?

了解 SCIM Provisioning 是什麼、運作方式、優缺點,以及 SaaS 團隊如何安全且可擴展地實作。

2025年12月1日
OWASP Top 10 2025:A10—異常情況處理不當
產業

OWASP Top 10 2025:A10—異常情況處理不當

了解 2025:A10 異常情況處理不當代表什麼、不可預期錯誤如何演變成漏洞,以及穩健錯誤處理與 fail-safe 設計最佳實務。

2025年11月13日
OWASP Top 10 2025:A03—軟體供應鏈失敗
產業

OWASP Top 10 2025:A03—軟體供應鏈失敗

了解 2025:A03 軟體供應鏈失敗代表什麼、攻擊如何發生,以及可落地的供應鏈安全檢查清單。

2025年11月12日
驗證器 App 如何運作?
工程

驗證器 App 如何運作?

了解驗證器 App 的運作:TOTP 密鑰、QR 佈建、時鐘漂移、恢復碼,以及為何 Passkey(WebAuthn)可防釣魚。

2025年11月7日
將 Supabase 連接到任何驗證提供者
整合

將 Supabase 連接到任何驗證提供者

使用你現有的 SSO 或 IdP 與 Supabase 整合。了解如何交換 JWT 以取得完整 RLS 存取與單一登入整合。

2025年10月24日
為什麼 HMAC 在 2025 仍是 API 安全必備
工程

為什麼 HMAC 在 2025 仍是 API 安全必備

了解為什麼 HMAC 在 2025 仍是安全 API 驗證的基礎。學習它如何保護 API、防止竄改並確保訊息完整性。

2025年10月6日
在 Python、Node.js、Go 產生與驗證 HMAC 簽章
工程

在 Python、Node.js、Go 產生與驗證 HMAC 簽章

學習如何在 Python、Node.js 與 Go 產生與驗證 HMAC 簽章。透過實用範例、程式片段與免費線上工具強化 API 安全。

2025年10月6日
登入與註冊 UX:2025 驗證最佳實務完整指南
產業

登入與註冊 UX:2025 驗證最佳實務完整指南

在 2025 年,優化登入與註冊體驗至關重要。本指南涵蓋 UX 原則、無密碼與 passkey 等模式、真實案例,以及可直接套用的檢查清單,幫助你同時提升轉換與安全。

2025年9月25日
不安全直接物件參照(IDOR):範例與 API 防護
產業

不安全直接物件參照(IDOR):範例與 API 防護

說明 IDOR 是什麼、在 Web 與 API 如何發生、真實案例,以及預防物件層級授權漏洞(BOLA)的實用清單。

2025年9月9日
密碼學失敗完整指南(OWASP Top 10 A02)
產業

密碼學失敗完整指南(OWASP Top 10 A02)

了解什麼是密碼學失敗、真實案例,以及 OWASP 建議的實作方式,保護傳輸中與靜態資料安全。

2025年9月9日
OTP 繞過:OTP 機器人如何突破 SMS 2FA(含修補做法)
工程

OTP 繞過:OTP 機器人如何突破 SMS 2FA(含修補做法)

了解 OTP 機器人應用如何繞過 SMS 2FA,並快速落地修補:自適應 CAPTCHA、實體維度限流、風險評分與 Authgear 反詐保護。

2025年9月9日
開發者最常犯的 5 個 TOTP 錯誤(以及 2026 年的修正方式)
工程

開發者最常犯的 5 個 TOTP 錯誤(以及 2026 年的修正方式)

2026 年 TOTP 驗證碼常失敗?一次看懂 5 個常見錯誤:時鐘漂移、Base32 secret、RFC 6238 參數不一致、驗證邏輯薄弱,以及每項對應修正(含 Python/JavaScript 範例)。

2025年8月27日
什麼是 TOTP?給開發者的精簡指南(RFC 6238 解說)
工程

什麼是 TOTP?給開發者的精簡指南(RFC 6238 解說)

什麼是 TOTP(Time-based One-Time Password)?本篇以開發者視角精要解說 RFC 6238,附 Node/Python/Go 範例、除錯重點與免費線上 TOTP 工具。

2025年8月27日
Machine-to-Machine(M2M)驗證完整指南 — OAuth Client Credentials Flow
工程

Machine-to-Machine(M2M)驗證完整指南 — OAuth Client Credentials Flow

了解 M2M token 運作方式、實作 OAuth 2.0 Client Credentials、託管 JWKS、金鑰輪替,以及如何用 curl/Node/Python/Go 保護 service-to-service 驗證。

2025年8月22日 10 分鐘閱讀
什麼是 JWKS?JSON Web Key Set 與 JWKS URI 一次搞懂
工程

什麼是 JWKS?JSON Web Key Set 與 JWKS URI 一次搞懂

了解 JWKS 是什麼、JWKS URI 如何運作、JWK 格式範例,以及在正式環境中建立與管理金鑰的實務建議。

2025年8月14日 6 分鐘閱讀
JWE vs JWT:關鍵差異、使用情境與安全建議
工程

JWE vs JWT:關鍵差異、使用情境與安全建議

快速理解 JWE 與 JWT 的差異、何時該用哪一種,以及如何安全使用 token。內含免費除錯與金鑰產生工具。

2025年8月13日 5 分鐘閱讀
為何你的密碼複雜度政策反而讓安全性更差(以及該如何改善)
產業

為何你的密碼複雜度政策反而讓安全性更差(以及該如何改善)

如果你的網站仍要求使用者密碼必須「至少包含一個大寫字母、一個數字與一個特殊字元」,你其實正在實施已過時的安全做法。研究顯示,這些規則反而會讓密碼更脆弱。

2025年7月31日
使用 Authgear 為 Webflow 建立會員系統
整合

使用 Authgear 為 Webflow 建立會員系統

Webflow 正在淘汰原生 User Accounts 功能,許多網站經營者因此需要新的會員登入與內容門檻方案。若你目前依賴 Webflow 做驗證,現在就該提早評估替代方案,避免使用者失去存取權。本文將示範如何以 Authgear 無縫接手 Webflow 即將退場的帳號功能,持續守住安全與會員體驗。

2025年6月27日
Authgear 加入 Passkey Pledge:我們對無密碼未來的承諾
產業

Authgear 加入 Passkey Pledge:我們對無密碼未來的承諾

Authgear 正式加入 FIDO Alliance 的 Passkey Pledge,延續我們自 2022 年起對 Passkey 的早期投入。Passkey 可消除密碼弱點,並透過生物辨識帶來更佳使用者體驗。我們致力讓無密碼驗證成為預設選項,打造兼具安全與便利的數位生態。

2025年4月29日 3 分鐘閱讀