Posted on 三 29 4月 2026 in Tech • Tagged with authorization, IAM, OPA, OpenFGA, Keycloak, STS, SPIFFE, SPIRE, RBAC, ABAC, ReBAC, security
如果要用开源组件搭一个 AWS IAM 风格的授权系统,不能只靠 OpenFGA 或 OPA。更合理的组合是 Keycloak/Dex 做用户身份,SPIFFE/SPIRE 做工作负载身份,STS 服务签发短期角色会话,OpenFGA 表达 trust/resource relationship,OPA 表达 permission policy、condition 和 explicit deny,再由 API Gateway 或服务中间件作为 PEP 执行决策。
Posted on 日 26 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Hands-on, Python, Database
SPIRE 系列第四篇:用一个迷你 Python 实验把 Workload Identity 落地,用 JWT-SVID 替代应用侧数据库密码分发,并串起 SPIFFE、SPIRE、Zero Trust 的完整链路。
Posted on 六 25 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Security, mTLS, X.509
SPIRE 系列第三篇:从信任链、攻击面、JWT-SVID 风险、Server/Agent 加固和事件响应角度,分析如何把 SPIFFE/SPIRE 用成真正的 Zero Trust 身份层。
Posted on 五 24 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Architecture, Kubernetes
SPIRE 系列第二篇:在理解 Workload Identity 与 Zero Trust 目标之后,拆开 SPIRE Server、Agent、Registration Entry、Workload API、部署模式与插件体系。
Posted on 四 23 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Workload Identity, Zero Trust, Kubernetes
SPIRE 系列第一篇:从为什么需要 Workload Identity 开始,解释 SPIFFE/SPIRE 的核心概念、落地路径、部署模式和资源成本,为后续架构、安全与实战 Lab 打基础。