安全与信任仅限订阅用户 Jul 11, 2026 at 17:195加入收藏

一条热门的HN帖子重新提出了一个问题:在2026年,我们应该如何对应用进行身份验证?答案不再是「JWT + 刷新令牌」。本文将对这一问题进行梳理。
在2026年,以“正确”的方式对Web应用进行身份验证取决于两个问题:(1) 您是面向消费者的B2C应用,还是面向企业的SaaS B2B?(2) 您是否准备好运营自己的IdP,还是依赖于提供商?2020年代中期的模式(JWT无状态+刷新令牌在localStorage中)已经过时——这有很好的理由。
HN帖子重新引发了经典讨论,并得出了一个有趣的共识:对于大多数应用程序,2026年的务实技术栈是:
从结构上讲,有三件事发生了变化。一:敏感令牌的localStorage已经结束(XSS = 完全损害,没有争论的余地)。二:passkeys的成熟度——公众采用现在已经超过关键阈值,在主要生态系统中(Google、Apple、Microsoft都已部署),尽管没有人最近发布详细数据。三:托管的IdP(Clerk、WorkOS、Auth0)现在提供SSO/SCIM/passkeys的开箱即用覆盖,任何少于5人的团队都没有兴趣重新实现。
Secure; HttpOnly; SameSite=Lax; __Host- 前缀。在每次特权升级时旋转。有三个要点。一:如果您在2026年启动,除非有特定的监管原因,否则选择提供商(Clerk、WorkOS、Stack Auth)。节省的工程时间可以用于产品开发。二:如果您有一个遗留的JWT-in-localStorage技术栈,请计划迁移到会话cookie——这是一个优先的安全工作,而不是美容工作。三:passkeys已经准备好使用;现在可以作为选项启用,并在2027年之前在企业中强制执行。需要关注的是跨平台passkeys的标准化(真正的B2B障碍)。
本文由人工智能撰写,并经人工编辑审核。
Les passkeys ont l'air bien, mais comment ils se défendent contre le phishing ? Un pirate pourrait-il intercepter la connexion ?
Les passkeys, c'est bien, mais comment ça gère plusieurs appareils ? Faut-il toujours avoir son téléphone sur soi ?
Est-ce que les passkeys fonctionneront hors ligne ? Une solution de secours sera-t-elle nécessaire ?
Les passkeys ont l'air bien, mais je me demande comment ils vont s'intégrer avec les anciens systèmes d'authentification ?
Est-ce que les passkeys peuvent vraiment tenir la route pour les très grosses applications ?
Les passkeys sont-ils vraiment fiables pour les très grosses applications ?