本文讨论了无状态JWT的吊销问题，提出了一整套吊销体系，包括短期access token、长期refresh token、黑名单和事件广播等机制。通过混合模式设计，结合重用检测和token轮换，确保安全性与性能。文章还探讨了统一登出和token检查等技术细节，并提供了工程实现建议和监控指标，以应对现代身份认证中的挑战。

本文探讨了JWT、JWS、JWE、JWK及JWKS之间的关系，分析了它们的设计、签名算法选择及安全性问题。重点讨论了常见攻击方式及防御措施，如alg=none攻击和算法混淆。最后，提供了JWT的最佳实践和选型建议，强调在生产环境中的安全细节和运维策略。

这篇文章讨论了SAML 2.0协议在企业IT环境中的重要性。尽管SAML自2005年发布以来已显得陈旧，但由于企业惯性和合规要求，它仍被广泛应用。文章介绍了SAML的基本概念、参与方、断言类型及其与OIDC的对比，强调在B2B SaaS，特别是金融和医疗行业中掌握SAML的必要性。最后，作者建议在集成时使用成熟的库和工具，以降低安全风险和技术债务。

SCIM（跨域身份管理系统）旨在自动化用户账号管理，解决企业在员工入职、变岗、休假和离职时的账号生命周期管理问题。SCIM 2.0 定义了用户和群组的标准化接口，支持增量同步，确保高效的数据管理。企业需实现 SCIM 2.0 的 CRUD 操作，并与客户对齐属性映射，以确保账号管理的安全与效率。

一家年营收2000万美元的SaaS公司因未满足财富500强企业的身份与访问管理（IAM）要求，导致与其洽谈的180万美元合同停滞。IAM在公司扩展和合规客户接触中至关重要，涉及SSO、SCIM等技术。未能满足合规审计要求可能导致合同流失或大幅削减，因此企业需提前规划IAM建设，以应对未来的客户需求和合规压力。

某团队的单页应用在安全审计中发现access_token以URL fragment形式暴露，存在高风险。审计指出，攻击者可通过浏览器历史和日志获取token。OAuth 2.1通过废弃隐式授权和强制使用PKCE等措施提升安全性，确保公共客户端安全地使用授权码流程。PKCE通过动态生成挑战和答案，防止授权码被拦截，增强了OAuth的安全性。

本文讨论了OpenID Connect（OIDC）在OAuth 2.0基础上增强的功能，强调了企业在B2B SaaS中对单点登录（SSO）的需求。分析了SSO的必要性，包括大客户的安全合规要求、集团多产品线的统一登录以及SaaS平台接入第三方身份提供者的场景。OIDC通过提供id_token、UserInfo端点和Discovery文档等功能，简化了身份验证流程，提升了企业的安全性和合规性。

2020年SolarWinds攻击通过篡改软件构建管道，导致超过18000个组织被植入后门。为提高软件供应链安全，Google推出了SLSA框架，定义了四个安全等级。Sigstore提供无密钥签名，简化开发者的私钥管理。通过SPIFFE/SPIRE，CI/CD管道中的每个步骤都有独立身份，确保安全。SBOM用于验证组件依赖，增强零信任架构。

零信任理论面临AI代理身份、边缘计算和后量子密码学的挑战。AI代理需要解决权限粒度问题，边缘设备在间歇性连接和资源受限的情况下需改进证书管理。随着后量子密码学标准的发布，加密基础设施也需更新。整体上，零信任原则需针对新场景进行重新设计。

Google的身份感知代理（IAP）通过将认证和授权逻辑从应用中剥离，简化了内部Web应用的安全管理。IAP作为反向代理，处理用户身份验证，并将已验证的身份信息传递给后端应用。其核心优势在于应用无需修改即可实现安全控制，支持OAuth2认证和IAM权限检查。Pomerium和oauth2-proxy是IAP的开源替代方案，提供灵活的授权策略和简单的认证功能。选择合适的IAP解决方案需根据具体需求评估。

今年的Google涂鸦比赛中，华盛顿的高中生Kameirah获胜，她的作品《发之力：源自我们的皇冠》展示了黑人头发作为文化和身份的象征。Kameirah希望通过艺术鼓励人们自信地展现独特性，庆祝自身的美与力量。

谷歌钱包正在升级，增强数字身份和支付安全性。新功能允许用户安全证明年龄和身份，计划在欧盟推广。Google Pay直接结账简化了支付流程，提高了安全性，减少了身份验证时间，旨在提升消费者体验并保护用户隐私。