安全工程手册：从身份认证到零信任架构

Abstract	安全工程手册 — 系统性地讲解身份认证(AuthN)、访问授权(AuthZ)、工作负载身份(SPIFFE/SPIRE)、策略引擎(OpenFGA/OPA)和零信任架构
Authors	Walter Fan
Category	Security Engineering
Status	WIP
Updated	2026-03-20
License	CC-BY-NC-ND 4.0

关于本书

本书系统性地探讨现代软件安全工程的核心主题。从基础的密码学和威胁建模，到身份认证协议（OAuth2、OIDC、JWT）， 再到细粒度授权（OpenFGA、OPA），以及云原生时代的工作负载身份（SPIFFE/SPIRE）和零信任架构， 帮助每一位工程师构建安全可靠的系统。

第一部分：安全基础

• 第一章：安全工程概论
  • 1.1 信息安全的 CIA 三要素
  • 1.2 安全工程的发展历程
  • 1.3 安全左移（Shift Left Security）
  • 1.4 安全设计原则
  • 1.5 安全与可用性的平衡
  • 1.6 本书结构与阅读指南
  • 1.7 小结
• 第二章：密码学基础
  • 2.1 密码学概述
  • 2.2 对称加密
  • 2.3 非对称加密
  • 2.4 哈希函数
  • 2.5 消息认证码（MAC）
  • 2.6 数字签名
  • 2.7 密钥交换
  • 2.8 密码学在 AuthN/AuthZ 中的应用
  • 2.9 小结
• 第三章：PKI 与证书体系
  • 3.1 公钥基础设施（PKI）
  • 3.2 X.509 证书格式
  • 3.3 证书生命周期
  • 3.4 证书吊销
  • 3.5 Let’s Encrypt 与 ACME 协议
  • 3.6 mTLS（双向 TLS）
  • 3.7 使用 ECC 证书
  • 3.8 Python 证书操作
  • 3.9 小结
• 第四章：威胁建模与风险评估
  • 4.1 为什么需要威胁建模
  • 4.2 STRIDE 威胁模型
  • 4.3 数据流图（DFD）与信任边界
  • 4.4 DREAD 风险评分
  • 4.5 PASTA 威胁建模
  • 4.6 攻击树（Attack Tree）
  • 4.7 OWASP Top 10（2021）
  • 4.8 威胁建模实战
  • 4.9 风险评估矩阵
  • 4.10 小结
• 第五章：身份与访问管理（IAM）概论
  • 5.1 IAM 的核心概念
  • 5.2 认证（AuthN）vs 授权（AuthZ）
  • 5.3 身份生命周期管理
  • 5.4 IAM 架构模式
  • 5.5 云 IAM 对比
  • 5.6 从 IAM 到零信任
  • 5.7 本书技术路线图
  • 5.8 小结

第二部分：身份认证 (Authentication)

• 第六章：TLS 协议深入解析
  • 6.1 TLS 的演进
  • 6.2 TLS 1.2 握手流程
  • 6.3 TLS 1.3 的改进
  • 6.4 SNI 与 ALPN
  • 6.5 TLS 常见攻击
  • 6.6 Nginx TLS 最佳实践
  • 6.7 Python TLS 编程
  • 6.8 小结
• 第七章：OAuth 2.0 授权框架
  • 7.1 OAuth 2.0 解决什么问题
  • 7.2 四个角色
  • 7.3 授权码模式（Authorization Code）
  • 7.4 客户端凭证模式（Client Credentials）
  • 7.5 设备码模式（Device Code）
  • 7.6 Token 安全
  • 7.7 OAuth 2.1
  • 7.8 FastAPI OAuth2 实现
  • 7.9 小结
• 第八章：OpenID Connect 身份认证
  • 8.1 OIDC 与 OAuth 2.0 的关系
  • 8.2 ID Token
  • 8.3 OIDC 授权码流程
  • 8.4 OIDC Discovery
  • 8.5 OIDC 提供商对比
  • 8.6 Python OIDC 客户端
  • 8.7 小结
• 第九章：JWT 深入解析
  • 9.1 JWT 结构
  • 9.2 签名算法选择
  • 9.3 JWT 安全陷阱
  • 9.4 JWKS（JSON Web Key Set）
  • 9.5 JWT vs Session
  • 9.6 JWT 最佳实践清单
  • 9.7 小结
• 第十章：多因素认证（MFA）
  • 10.1 认证三要素
  • 10.2 密码认证的问题
  • 10.3 TOTP — 基于时间的一次性密码
  • 10.4 FIDO2/WebAuthn — 无密码认证
  • 10.5 MFA 疲劳攻击与防御
  • 10.6 自适应认证
  • 10.7 小结
• 第十一章：单点登录（SSO）与联邦身份
  • 11.1 SSO 解决什么问题
  • 11.2 SSO 实现方式
  • 11.3 SAML 2.0
  • 11.4 联邦身份
  • 11.5 Kerberos 认证协议
  • 11.6 企业 SSO 方案对比
  • 11.7 小结
• 第十二章：API 认证模式
  • 12.1 API 认证的特殊性
  • 12.2 API Key 认证
  • 12.3 Bearer Token 认证
  • 12.4 mTLS 客户端证书认证
  • 12.5 HMAC 签名认证
  • 12.6 API Gateway 认证模式
  • 12.7 Service-to-Service 认证
  • 12.8 API 认证方式对比
  • 12.9 小结

第三部分：访问授权 (Authorization)

• 第十三章：访问控制模型
  • 13.1 访问控制基本概念
  • 13.2 DAC — 自主访问控制
  • 13.3 MAC — 强制访问控制
  • 13.4 RBAC — 基于角色的访问控制
  • 13.5 ABAC — 基于属性的访问控制
  • 13.6 ReBAC — 基于关系的访问控制
  • 13.7 访问控制模型对比
  • 13.8 小结
• 第十四章：OpenFGA — 细粒度授权引擎
  • 14.1 OpenFGA 是什么
  • 14.2 核心概念
  • 14.3 实战场景：Google Drive 权限模型
  • 14.4 Python SDK 完整示例
  • 14.5 OpenFGA 部署
  • 14.6 OpenFGA vs RBAC
  • 14.7 小结
• 第十五章：OPA — 通用策略引擎
  • 15.1 OPA 是什么
  • 15.2 Rego 语言
  • 15.3 OPA 部署模式
  • 15.4 应用场景
  • 15.5 Python 集成
  • 15.6 OPA vs OpenFGA
  • 15.7 小结
• 第十六章：策略即代码（Policy as Code）
  • 16.1 策略即代码的理念
  • 16.2 策略引擎对比
  • 16.3 Cedar 语言
  • 16.4 Casbin
  • 16.5 策略引擎选型决策树
  • 16.6 GitOps 策略管理
  • 16.7 小结
• 第十七章：授权架构模式
  • 17.1 授权架构的演进
  • 17.2 XACML 授权架构
  • 17.3 微服务授权模式
  • 17.4 多租户授权设计
  • 17.5 性能优化
  • 17.6 实战：SaaS 平台授权架构
  • 17.7 小结
• 第十八章：授权系统实战 — OpenFGA + FastAPI
  • 18.1 项目目标
  • 18.2 OpenFGA 授权模型
  • 18.3 项目结构
  • 18.4 核心代码实现
  • 18.5 测试
  • 18.6 Docker Compose 部署
  • 18.7 小结

第四部分：工作负载身份与零信任

• 第十九章：SPIFFE — 通用工作负载身份框架
  • 19.1 工作负载身份的挑战
  • 19.2 SPIFFE 是什么
  • 19.3 SPIFFE ID
  • 19.4 SVID — 可验证身份文档
  • 19.5 Trust Bundle
  • 19.6 Workload API
  • 19.7 SPIFFE 与传统方案对比
  • 19.8 小结
• 第二十章：SPIRE — SPIFFE 的参考实现
  • 20.1 SPIRE 架构
  • 20.2 Node Attestation（节点证明）
  • 20.3 Workload Registration（工作负载注册）
  • 20.4 Workload Attestation（工作负载证明）
  • 20.5 CA Manager
  • 20.6 Kubernetes 部署
  • 20.7 完整实战：两个服务间 mTLS
  • 20.8 常用命令
  • 20.9 小结
• 第二十一章：SPIFFE 联邦与跨域信任
  • 21.1 为什么需要联邦信任
  • 21.2 Trust Domain 联邦
  • 21.3 多集群场景
  • 21.4 与 Service Mesh 集成
  • 21.5 Kubernetes 集成
  • 21.6 生产环境最佳实践
  • 21.7 小结
• 第二十二章：WIMSE — 多系统环境中的工作负载身份
  • 22.1 WIMSE 是什么
  • 22.2 核心概念
  • 22.3 Confused Deputy 攻击
  • 22.4 WIMSE 与现有标准的关系
  • 22.5 应用场景
  • 22.6 小结
• 第二十三章：零信任架构
  • 23.1 零信任的起源
  • 23.2 核心原则
  • 23.3 NIST SP 800-207 架构
  • 23.4 零信任五大支柱
  • 23.5 BeyondCorp — Google 的零信任实践
  • 23.6 ZTNA vs VPN
  • 23.7 零信任成熟度模型
  • 23.8 零信任实施路线图
  • 23.9 小结
• 第二十四章：Service Mesh 安全
  • 24.1 Service Mesh 与零信任
  • 24.2 Istio 安全架构
  • 24.3 自动 mTLS
  • 24.4 AuthorizationPolicy
  • 24.5 RequestAuthentication
  • 24.6 Istio + SPIRE 集成
  • 24.7 Envoy 外部授权（ext_authz）
  • 24.8 Service Mesh 对比
  • 24.9 渐进式 mTLS 迁移
  • 24.10 小结

第五部分：实战与展望

• 第二十五章：安全框架与库实战
  • 25.1 FastAPI 安全实战
  • 25.2 Spring Security 概览
  • 25.3 安全库选型原则
  • 25.4 小结
• 第二十六章：API 安全设计
  • 26.1 OWASP API Security Top 10（2023）
  • 26.2 输入验证
  • 26.3 速率限制
  • 26.4 GraphQL 安全
  • 26.5 gRPC 安全
  • 26.6 小结
• 第二十七章：密钥与凭证管理
  • 27.1 密钥管理挑战
  • 27.2 HashiCorp Vault
  • 27.3 Kubernetes Secrets 安全
  • 27.4 密钥轮换
  • 27.5 密钥泄露检测
  • 27.6 小结
• 第二十八章：云原生安全
  • 28.1 4C 安全模型
  • 28.2 容器安全
  • 28.3 Kubernetes 安全
  • 28.4 K8s 安全加固清单
  • 28.5 小结
• 第二十九章：DevSecOps — 安全左移
  • 29.1 DevSecOps 理念
  • 29.2 SAST — 静态应用安全测试
  • 29.3 SCA — 软件组成分析
  • 29.4 DAST — 动态应用安全测试
  • 29.5 IaC 安全
  • 29.6 GitHub Actions 安全流水线
  • 29.7 安全门禁策略
  • 29.8 Security Champion 计划
  • 29.9 小结
• 第三十章：安全工程的未来
  • 30.1 无密码认证
  • 30.2 去中心化身份（DID/VC/SSI）
  • 30.3 AI 与安全
  • 30.4 后量子密码学
  • 30.5 隐私增强技术
  • 30.6 供应链安全
  • 30.7 安全工程师学习路线图
  • 30.8 推荐资源
  • 30.9 给安全工程师的建议
  • 30.10 小结

附录：专题笔记

• 附录：专题笔记
  • 医疗软件网络安全

Indices and tables

• Index

• Module Index

• Search Page