以實務角度拆解 OIDC 規範,說明流程、權杖、宣告、範圍與端點。了解開發者真正需要的重點,實作更安全的驗證機制。
了解最常見的 OAuth 2.0 授權類型、運作方式與使用時機。這是一份面向開發與資安團隊的實務指南。
了解 Demonstrating Proof-of-Possession(DPoP)是什麼、為何對安全 API 很重要,以及如何實作。內含開發者實作範例。
了解 Base64 編碼如何運作、為何會被使用,以及如何安全編碼與解碼資料。含實務範例與免費線上 Base64 工具。
了解 SCIM Provisioning 是什麼、運作方式、優缺點,以及 SaaS 團隊如何安全且可擴展地實作。
了解驗證器 App 的運作:TOTP 密鑰、QR 佈建、時鐘漂移、恢復碼,以及為何 Passkey(WebAuthn)可防釣魚。
了解為什麼 HMAC 在 2025 仍是安全 API 驗證的基礎。學習它如何保護 API、防止竄改並確保訊息完整性。
學習如何在 Python、Node.js 與 Go 產生與驗證 HMAC 簽章。透過實用範例、程式片段與免費線上工具強化 API 安全。
了解 OTP 機器人應用如何繞過 SMS 2FA,並快速落地修補:自適應 CAPTCHA、實體維度限流、風險評分與 Authgear 反詐保護。
2026 年 TOTP 驗證碼常失敗?一次看懂 5 個常見錯誤:時鐘漂移、Base32 secret、RFC 6238 參數不一致、驗證邏輯薄弱,以及每項對應修正(含 Python/JavaScript 範例)。
什麼是 TOTP(Time-based One-Time Password)?本篇以開發者視角精要解說 RFC 6238,附 Node/Python/Go 範例、除錯重點與免費線上 TOTP 工具。
了解 M2M token 運作方式、實作 OAuth 2.0 Client Credentials、託管 JWKS、金鑰輪替,以及如何用 curl/Node/Python/Go 保護 service-to-service 驗證。
了解 JWKS 是什麼、JWKS URI 如何運作、JWK 格式範例,以及在正式環境中建立與管理金鑰的實務建議。
快速理解 JWE 與 JWT 的差異、何時該用哪一種,以及如何安全使用 token。內含免費除錯與金鑰產生工具。
了解 JWT 驗證如何運作、優缺點與適用情境,並比較 OAuth、API Key、SAML 等替代方案。
完整了解角色型存取控制(RBAC):優勢、限制、核心規則,以及與 ABAC、ACL 的比較。同時看看 Authgear 如何簡化可擴展的 RBAC 實作。
了解有關 PKCE 的所有信息,PKCE 是 OAuth 2.0 的安全擴展,有助於保護您的 API 免受授權代碼攔截和其他攻擊。了解 PKCE 的工作原理、優點以及實施的最佳實踐。
本篇教你如何在 10 分鐘內,為任何 React Native 應用快速加入完整的使用者驗證功能。
從指紋到人臉辨識,深入了解生物辨識驗證技術、優勢與挑戰,以及它如何改變未來身分驗證。
幾乎所有流行的線上服務都使用某種形式的雜湊技術來安全地儲存密碼。在這篇文章中,我們將介紹不同的雜湊函數、最佳實踐以及如何為您的應用程式和組織選擇最佳的雜湊函數。
社群登入可讓使用者使用其在 Facebook、Twitter (X) 和 Google 等社群網站上的現有帳號登入您的網站。在這篇文章中,我們展示瞭如何使用任何社交登入提供者在 Laravel 專案中實現社交登入。
什麼是存取控制漏洞(Broken Access Control)?清晰的範例、API/IDOR 情境,以及實用的預防清單(RBAC/ABAC、預設拒絕、測試)。依 OWASP Top 10 2025 更新。
OAuth 2.0 是「使用 Google 登入」與各大 API 背後的標準。本文用圖解與程式碼完整說明其運作方式。
這篇部落格文章示範如何透過實作 OpenID Connect 流程,使用 Authgear 將驗證功能新增至 ASP.NET 應用程式。
