@umacloud/knowledge 1.0.1

package/security/02-playbooks/incident-response-security-playbook.md

@@ -0,0 +1,588 @@
+---
+title: 安全事件响应作战手册
+version: 1.0.0
+last_updated: 2026-03-28
+owner: security-team
+tags: [incident-response, forensics, SIEM, containment, recovery, post-mortem]
+status: production
+domain: security
+difficulty: intermediate
+quality_score: 70
+---
+
+# 开发：Excellent（11964948@qq.com）
+# 功能：安全事件响应全流程作战手册
+# 作用：指导安全团队完成安全事件的检测、遏制、取证、修复、通报与复盘
+# 创建时间：2026-03-28
+# 最后修改：2026-03-28
+
+## 目标
+
+建立安全事件响应标准化流程，确保：
+- 安全事件从发现到遏制控制在 30 分钟以内（P0 级别）
+- 取证证据链完整、合法、可用于后续法律程序
+- 根因溯源准确率 > 90%
+- 复盘产出可落地改进项并跟踪闭环
+- 通报流程符合等保/GDPR/网络安全法要求
+
+## 适用场景
+
+- 数据泄露事件（用户数据/商业机密/源代码外泄）
+- 入侵事件（服务器被控/Web Shell/后门植入）
+- 勒索攻击（文件加密/数据库锁定/DDoS 勒索）
+- 内部威胁（员工违规操作/数据拷贝/账号滥用）
+- 供应链攻击（依赖库投毒/CI-CD 管道污染）
+- 钓鱼攻击（邮件钓鱼/社工攻击/凭据窃取）
+
+## 前置条件
+
+### 环境与工具
+
+| 项目 | 要求 |
+|------|------|
+| SIEM 平台 | ELK Stack / Splunk / Wazuh 已部署并接收日志 |
+| 取证工具 | Volatility 3 / Autopsy / The Sleuth Kit 已安装 |
+| 网络抓包 | tcpdump / Wireshark / Zeek 可用 |
+| 备份系统 | 最近备份可在 30 分钟内恢复 |
+| 通信渠道 | 安全事件专用 Slack Channel / 企业微信群已建立 |
+| 联系清单 | 安全负责人/法务/公关/管理层联系方式已更新 |
+
+### 预案就绪检查
+
+- [ ] 安全事件分级标准已定义并在团队内培训
+- [ ] 值班表已排好（7x24 覆盖）
+- [ ] 取证用隔离网段已准备
+- [ ] 日志保留策略 >= 180 天
+- [ ] 应急响应演练 >= 每季度 1 次
+
+---
+
+## 一、事件检测与分类
+
+### 1.1 检测来源
+
+```yaml
+自动检测:
+  SIEM 告警: 异常登录/暴力破解/大量数据外传
+  WAF 告警: SQL 注入/XSS/路径遍历/CC 攻击
+  EDR 告警: 恶意进程/可疑文件写入/提权行为
+  IDS/IPS: 已知攻击特征匹配
+  HIDS: 文件完整性变更/异常 crontab
+
+人工发现:
+  用户报告: 账号异常/收到钓鱼邮件
+  开发人员: 发现可疑代码提交/依赖异常
+  第三方通报: 安全研究员/合作方/监管机构
+  暗网监控: 发现泄露数据/售卖信息
+```
+
+### 1.2 事件分级
+
+| 级别 | 定义 | SLA | 通报范围 |
+|------|------|-----|---------|
+| P0 - 严重 | 数据大规模泄露/核心系统被控/勒索攻击 | 30 分钟响应 | CEO + CTO + 法务 + 公关 |
+| P1 - 高危 | 单系统入侵/小范围数据泄露/供应链攻击 | 1 小时响应 | CTO + 安全负责人 + 运维负责人 |
+| P2 - 中危 | 钓鱼攻击成功/异常访问行为/弱口令利用 | 4 小时响应 | 安全负责人 + 相关系统负责人 |
+| P3 - 低危 | 扫描探测/已阻断攻击/误操作 | 24 小时响应 | 安全团队内部 |
+
+### 1.3 初步确认
+
+```bash
+# 确认告警是否为真实事件（排除误报）
+# 1. 检查 SIEM 原始日志
+# Elasticsearch 查询示例
+curl -s "http://elk:9200/security-*/_search" -H 'Content-Type: application/json' -d '{
+  "query": {
+    "bool": {
+      "must": [
+        { "match": { "source.ip": "攻击IP" } },
+        { "range": { "@timestamp": { "gte": "now-1h" } } }
+      ]
+    }
+  },
+  "sort": [{ "@timestamp": "desc" }],
+  "size": 50
+}'
+
+# 2. 关联多个数据源交叉验证
+# - WAF 日志是否有同源 IP 攻击记录
+# - 系统日志是否有异常登录
+# - 网络流量是否有异常外传
+
+# 3. 确认影响范围
+# - 受影响系统列表
+# - 受影响用户/数据量估算
+# - 攻击是否仍在进行
+```
+
+---
+
+## 二、遏制阶段
+
+### 2.1 短期遏制（止血）
+
+```bash
+# 网络层隔离
+# 1. 防火墙封禁攻击 IP
+iptables -I INPUT -s <attacker-ip> -j DROP
+# 或云 WAF / 安全组规则
+aws ec2 revoke-security-group-ingress --group-id sg-xxx --protocol tcp --port 0-65535 --cidr <attacker-ip>/32
+
+# 2. 隔离受感染主机（不要关机，保留内存取证）
+# 网络隔离但保持运行
+iptables -I OUTPUT -j DROP
+iptables -I INPUT -j DROP
+# 仅允许取证跳板机访问
+iptables -I INPUT -s <forensic-jumpbox-ip> -j ACCEPT
+
+# 3. 禁用被入侵账号
+# Linux
+passwd -l compromised_user
+# 应用层
+curl -X POST https://admin-api/users/compromised_user/disable -H "Authorization: Bearer $ADMIN_TOKEN"
+
+# 4. 撤销泄露的凭据
+# API Key / Token / 数据库密码
+# 在密钥管理系统中轮换 (Vault / AWS Secrets Manager)
+vault write secret/db/password value=$(openssl rand -base64 32)
+```
+
+### 2.2 长期遏制
+
+```bash
+# 1. 部署增强监控
+# 受影响系统提升日志级别
+# 关键进程添加 audit 规则
+auditctl -w /etc/passwd -p wa -k passwd_changes
+auditctl -w /etc/shadow -p wa -k shadow_changes
+auditctl -w /var/www/ -p wa -k webroot_changes
+
+# 2. 清除攻击者持久化机制
+# 检查 crontab
+crontab -l -u root
+crontab -l -u www-data
+# 检查开机启动
+systemctl list-unit-files --state=enabled
+# 检查 SSH authorized_keys
+find / -name authorized_keys -exec cat {} \; 2>/dev/null
+# 检查异常进程
+ps auxf | grep -v '\[' | sort -k3 -rn | head -20
+
+# 3. 修补漏洞入口
+# 更新受影响组件
+apt update && apt upgrade -y <package>
+# 应用安全补丁
+# 临时 WAF 规则加固
+```
+
+---
+
+## 三、取证阶段
+
+### 3.1 证据采集原则
+
+```yaml
+证据链要求:
+  - 采集前先计算哈希（MD5 + SHA256）
+  - 使用只读方式挂载磁盘镜像
+  - 所有操作记录时间戳和操作人
+  - 证据存储在专用加密存储中
+  - 证据交接需签署交接记录
+
+采集优先级:
+  1. 易失性数据（内存/网络连接/进程列表）
+  2. 系统日志（auth.log/syslog/audit.log）
+  3. 应用日志（access.log/error.log/应用日志）
+  4. 磁盘镜像（完整 bit-for-bit 拷贝）
+  5. 网络流量包（PCAP）
+```
+
+### 3.2 易失性数据采集
+
+```bash
+# 内存转储
+# Linux - 使用 LiME
+insmod lime-$(uname -r).ko "path=/evidence/memory.lime format=lime"
+
+# 当前进程快照
+ps auxf > /evidence/processes.txt
+lsof -i > /evidence/open-connections.txt
+netstat -antup > /evidence/network-connections.txt
+ss -tlnp > /evidence/listening-sockets.txt
+
+# 登录会话
+w > /evidence/active-sessions.txt
+last -50 > /evidence/recent-logins.txt
+lastb -50 > /evidence/failed-logins.txt
+
+# 网络连接详情
+cat /proc/net/tcp > /evidence/proc-net-tcp.txt
+
+# 计算采集文件哈希
+sha256sum /evidence/* > /evidence/hash-manifest.txt
+```
+
+### 3.3 日志采集与分析
+
+```bash
+# 系统日志收集
+cp /var/log/auth.log /evidence/logs/
+cp /var/log/syslog /evidence/logs/
+cp /var/log/audit/audit.log /evidence/logs/
+cp /var/log/kern.log /evidence/logs/
+
+# Web 日志收集
+cp /var/log/nginx/access.log /evidence/logs/
+cp /var/log/nginx/error.log /evidence/logs/
+# 或 Apache
+cp /var/log/apache2/access.log /evidence/logs/
+
+# 应用日志
+cp /var/log/app/*.log /evidence/logs/
+
+# 日志时间线分析
+# 提取攻击时间窗口内的认证日志
+awk '/Mar 2[0-5]/' /evidence/logs/auth.log | grep -i "failed\|accepted\|invalid"
+
+# 提取可疑 IP 的所有访问记录
+grep "<attacker-ip>" /evidence/logs/access.log | awk '{print $1, $4, $7, $9}' | sort
+
+# 检查文件修改时间线
+find / -newer /tmp/ref-timestamp -not -path '/proc/*' -not -path '/sys/*' -ls 2>/dev/null \
+  > /evidence/modified-files.txt
+```
+
+### 3.4 磁盘取证
+
+```bash
+# 创建磁盘镜像（bit-for-bit）
+dd if=/dev/sda of=/evidence/disk-image.dd bs=4M status=progress
+sha256sum /evidence/disk-image.dd > /evidence/disk-image.dd.sha256
+
+# 使用 Autopsy / Sleuth Kit 分析
+# 1. 挂载为只读
+mount -o ro,loop /evidence/disk-image.dd /mnt/evidence
+
+# 2. 时间线分析
+fls -r -m "/" /evidence/disk-image.dd > /evidence/bodyfile.txt
+mactime -b /evidence/bodyfile.txt -d > /evidence/timeline.csv
+
+# 3. 恢复已删除文件
+foremost -i /evidence/disk-image.dd -o /evidence/recovered-files/
+
+# 内存分析（Volatility 3）
+vol -f /evidence/memory.lime linux.pslist
+vol -f /evidence/memory.lime linux.bash
+vol -f /evidence/memory.lime linux.netscan
+vol -f /evidence/memory.lime linux.malfind
+```
+
+---
+
+## 四、溯源阶段
+
+### 4.1 攻击路径还原
+
+```yaml
+溯源分析框架:
+  入口确认:
+    - Web 漏洞利用（日志中的攻击 payload）
+    - 钓鱼邮件（邮件头分析/附件沙箱分析）
+    - 暴力破解（auth.log 中的失败记录）
+    - 供应链（package-lock.json / requirements.txt 变更）
+    - 0-day（无已知 CVE 匹配时需提交样本分析）
+
+  横向移动:
+    - SSH 跳板（authorized_keys 变更记录）
+    - 内网扫描（同网段异常连接）
+    - Pass-the-Hash（Windows 事件日志 4624 Type 3）
+    - 服务间调用（微服务 Token 复用/越权）
+
+  持久化:
+    - Crontab / Systemd Service
+    - Web Shell
+    - SSH 后门
+    - 修改 PAM 模块
+    - 内核 rootkit
+```
+
+### 4.2 攻击者画像
+
+```bash
+# IP 情报查询
+# 使用威胁情报平台（VirusTotal / AlienVault OTX / AbuseIPDB）
+curl -s "https://www.virustotal.com/api/v3/ip_addresses/<attacker-ip>" \
+  -H "x-apikey: $VT_API_KEY" | jq '.data.attributes.last_analysis_stats'
+
+# 恶意样本分析
+sha256sum /evidence/malware-sample
+# 上传至沙箱分析
+curl -s --request POST \
+  --url "https://www.virustotal.com/api/v3/files" \
+  --header "x-apikey: $VT_API_KEY" \
+  --form file=@/evidence/malware-sample
+
+# WHOIS 与历史记录
+whois <attacker-ip>
+# 检查是否为已知 APT 组织的基础设施
+```
+
+### 4.3 影响评估
+
+```yaml
+评估维度:
+  数据影响:
+    - 泄露数据类型（PII/财务/医疗/商业机密）
+    - 泄露数据量（记录数/文件数/大小）
+    - 数据分级（公开/内部/机密/绝密）
+
+  系统影响:
+    - 受影响系统数量与业务关键度
+    - 服务中断时长
+    - 是否存在后门/持久化机制
+
+  业务影响:
+    - 直接经济损失
+    - 客户信任度影响
+    - 合规违规风险（GDPR 罚款/等保处罚）
+
+  法律影响:
+    - 是否需要向监管机构报告
+    - 是否需要通知受影响用户
+    - 是否需要执法机构介入
+```
+
+---
+
+## 五、修复阶段
+
+### 5.1 系统恢复
+
+```bash
+# 1. 从已验证的干净备份恢复
+# 确认备份时间早于入侵时间
+pg_restore -h db-host -U postgres -d production /backups/pre-incident.dump
+
+# 2. 重建受感染主机（推荐而非修补）
+# 使用 Infrastructure as Code 重建
+terraform destroy -target=aws_instance.compromised
+terraform apply
+
+# 3. 全量凭据轮换
+# 数据库密码
+vault write database/rotate-root/production
+# API Keys
+for key in $(vault list -format=json secret/api-keys | jq -r '.[]'); do
+  vault write "secret/api-keys/${key}" value=$(openssl rand -hex 32)
+done
+# SSH Keys
+ssh-keygen -t ed25519 -f /root/.ssh/id_ed25519 -N ""
+# SSL 证书（如私钥泄露）
+certbot revoke --cert-path /etc/letsencrypt/live/target.com/cert.pem
+certbot certonly --nginx -d target.com
+
+# 4. 漏洞修补
+# 更新受影响组件至修复版本
+pip install --upgrade vulnerable-package==safe-version
+npm audit fix --force
+```
+
+### 5.2 安全加固
+
+```bash
+# 1. 网络层加固
+# 收紧安全组规则
+# 启用 Network Segmentation
+# 部署入侵检测系统
+
+# 2. 应用层加固
+# 启用 MFA
+# 实施最小权限原则
+# 增加 WAF 规则
+
+# 3. 监控增强
+# 添加针对本次攻击手法的检测规则
+# SIEM 告警阈值调优
+# 关键文件完整性监控
+```
+
+---
+
+## 六、通报阶段
+
+### 6.1 内部通报
+
+```yaml
+通报模板:
+  标题: "[安全事件通报] P0 - 用户数据泄露事件"
+  时间线:
+    - "2026-03-20 14:30 SIEM 告警触发"
+    - "2026-03-20 14:45 安全团队确认事件"
+    - "2026-03-20 15:00 完成网络隔离"
+    - "2026-03-20 18:00 完成取证"
+    - "2026-03-21 10:00 完成根因分析"
+    - "2026-03-22 12:00 完成系统恢复"
+  影响范围: "XX 万用户 email + 手机号泄露"
+  根因: "XX 系统存在 SQL 注入漏洞，攻击者利用该漏洞导出数据库"
+  修复措施: "已修补漏洞，已轮换凭据，已加固 WAF 规则"
+  后续计划: "全系统安全审计 / 用户通知 / 监管报告"
+```
+
+### 6.2 监管通报
+
+```yaml
+通报要求:
+  中国（网络安全法 / 等保）:
+    - 重大安全事件 24 小时内向网信办报告
+    - 个人信息泄露通知受影响个人
+    - 向公安机关备案
+
+  GDPR（适用于欧盟用户数据）:
+    - 72 小时内向监管机构报告
+    - 通知受影响的数据主体
+    - 记录完整的数据泄露档案
+
+  PCI-DSS（涉及支付卡数据）:
+    - 立即通知收单银行
+    - 聘请 PFI 进行取证调查
+    - 90 天内完成合规整改
+```
+
+### 6.3 用户通知
+
+```yaml
+通知内容:
+  - 事件概述（避免过多技术细节）
+  - 泄露了哪些数据
+  - 已采取的保护措施
+  - 用户应采取的行动（修改密码/监控账户）
+  - 客服联系方式
+  - 后续沟通安排
+
+通知渠道:
+  - 站内信 / App Push（第一时间）
+  - 邮件通知（24 小时内）
+  - 官网公告（如影响面广）
+  - 必要时媒体声明
+```
+
+---
+
+## 七、复盘阶段
+
+### 7.1 复盘会议结构
+
+```yaml
+参与人员: 安全团队 + 运维团队 + 开发团队 + 管理层
+会议时间: 事件关闭后 3-5 个工作日内
+时长: 1-2 小时
+
+议程:
+  1. 事件回顾（15 分钟）:
+     - 完整时间线回放
+     - 关键决策点标注
+
+  2. 做得好的（15 分钟）:
+     - 检测速度
+     - 遏制效果
+     - 团队协作
+
+  3. 需要改进的（30 分钟）:
+     - 检测盲区
+     - 响应延迟环节
+     - 工具/流程不足
+     - 沟通问题
+
+  4. 改进行动项（30 分钟）:
+     - 每个改进项指定负责人和截止时间
+     - 分为短期（1 周）/ 中期（1 月）/ 长期（1 季度）
+```
+
+### 7.2 复盘报告模板
+
+```markdown
+# 安全事件复盘报告
+
+## 事件摘要
+- 事件编号：SEC-2026-001
+- 事件级别：P0
+- 发现时间 → 关闭时间
+- MTTD（平均检测时间）：XX 分钟
+- MTTC（平均遏制时间）：XX 分钟
+- MTTR（平均恢复时间）：XX 小时
+
+## 时间线
+| 时间 | 事件 | 责任方 |
+|------|------|--------|
+| ... | ... | ... |
+
+## 根因分析（5 Why）
+1. 为什么数据泄露？→ SQL 注入漏洞被利用
+2. 为什么存在 SQL 注入？→ 输入验证不完整
+3. 为什么输入验证不完整？→ 代码审查未覆盖安全检查
+4. 为什么代码审查未覆盖？→ 安全编码检查清单缺失
+5. 为什么检查清单缺失？→ 安全培训未纳入开发流程
+
+## 改进行动项
+| 编号 | 行动项 | 负责人 | 截止日期 | 优先级 |
+|------|--------|--------|---------|--------|
+| 1 | 全系统 SQL 注入扫描 | 安全团队 | T+7d | P0 |
+| 2 | 安全编码培训 | 安全+开发 | T+14d | P1 |
+| 3 | CI 集成 SAST 扫描 | DevOps | T+30d | P1 |
+| 4 | 季度渗透测试制度 | 安全团队 | T+30d | P2 |
+
+## 经验教训
+- [具体可复用的经验总结]
+```
+
+---
+
+## 八、回滚
+
+### 回滚场景与策略
+
+| 场景 | 回滚策略 |
+|------|---------|
+| 误封正常 IP | 立即从防火墙/WAF 规则中移除 |
+| 误禁正常账号 | 立即恢复账号并通知用户 |
+| 凭据轮换导致服务中断 | 使用旧凭据恢复服务后重新规划轮换 |
+| 系统恢复后功能异常 | 回退到更早的备份点，逐步前滚 |
+| 安全加固策略过严 | 临时放宽规则，收集正常流量特征后调优 |
+
+```bash
+# 快速回滚防火墙规则
+iptables -D INPUT -s <blocked-ip> -j DROP
+
+# 恢复被禁用账号
+passwd -u username
+# 或应用层
+curl -X POST https://admin-api/users/username/enable -H "Authorization: Bearer $ADMIN_TOKEN"
+
+# 数据库回滚到特定时间点（如使用 PITR）
+pg_restore --target-time="2026-03-20 14:00:00" -d production
+```
+
+---
+
+## Agent Checklist
+
+供自动化 Agent 在执行安全事件响应流程时逐项核查：
+
+- [ ] 事件已检测并确认为真实安全事件（非误报）
+- [ ] 事件级别已按标准分级（P0/P1/P2/P3）
+- [ ] 相关人员已按级别通报
+- [ ] 短期遏制措施已执行（IP 封禁/账号禁用/网络隔离）
+- [ ] 易失性证据已采集（内存/进程/网络连接）
+- [ ] 系统日志与应用日志已保全
+- [ ] 磁盘镜像已创建并计算哈希
+- [ ] 攻击路径已还原（入口/横向移动/持久化）
+- [ ] 影响范围已评估（数据/系统/业务/法律）
+- [ ] 系统已从干净备份恢复或重建
+- [ ] 所有凭据已轮换
+- [ ] 漏洞入口已修补
+- [ ] 安全加固措施已部署
+- [ ] 监管通报已按要求完成
+- [ ] 受影响用户已通知
+- [ ] 复盘会议已召开
+- [ ] 改进行动项已指定负责人和截止日期
+- [ ] 复盘报告已归档

package/security/02-playbooks/owasp-api-security-playbook.md

@@ -0,0 +1,129 @@
+---
+id: owasp-api-security-playbook
+title: OWASP API Security Top 10 企业级防护手册
+domain: security
+category: 02-playbooks
+difficulty: advanced
+tags: [security, owasp, api, bola, jwt, oauth2, rbac, rate-limiting, input-validation, cors, authorization, authentication, enterprise]
+quality_score: 95
+maintainer: security-team@umadev.com
+last_updated: 2026-06-14
+---
+
+# OWASP API Security Top 10 企业级防护手册
+
+> 基于 [OWASP API Security Top 10 (2023)](https://owasp.org/API-Security/) + 2025 企业级实践
+
+## API1:2023 — Broken Object Level Authorization (BOLA)
+
+**风险**：用户 A 能访问用户 B 的数据（最常见、最严重的 API 漏洞）。
+
+```python
+# ❌ 只检查是否登录，没检查资源归属
+@app.get("/api/orders/{order_id}")
+def get_order(order_id, current_user=Depends(get_current_user)):
+    return db.query(Order).get(order_id)  # 任何用户都能看任何订单！
+
+# ✅ 检查资源归属
+@app.get("/api/orders/{order_id}")
+def get_order(order_id, current_user=Depends(get_current_user)):
+    order = db.query(Order).get(order_id)
+    if order.user_id != current_user.id and not current_user.is_admin:
+        raise HTTPException(403, "Forbidden")
+    return order
+```
+
+## API2:2023 — Broken Authentication
+
+```python
+# ❌ 弱密码策略 + 无锁定 + JWT 永不过期
+jwt_token = create_jwt(user_id, expires_in=NEVER)
+
+# ✅ 强密码 + 锁定 + 短 TTL JWT + 刷新令牌
+@app.post("/api/auth/login")
+def login(email, password):
+    user = verify_credentials(email, password)
+    # 5 次失败锁定 15 分钟
+    if failed_attempts(email) >= 5:
+        lock_account(email, duration=900)
+    return {
+        "access_token": create_jwt(user_id, expires_in=900),    # 15min
+        "refresh_token": create_refresh_token(user_id, expires_in=604800),  # 7d
+    }
+```
+
+## API3:2023 — Broken Object Property Level Authorization
+
+```python
+# ❌ Mass assignment — 用户可以修改不该改的字段
+@app.patch("/api/users/{id}")
+def update_user(id, data: dict):
+    return db.update(User, id, **data)  # data 含 role="admin"?!
+
+# ✅ 白名单字段
+class UpdateUserRequest(BaseModel):
+    name: str | None = None
+    email: str | None = None
+    # 不暴露 role, is_admin, password_hash
+
+@app.patch("/api/users/{id}")
+def update_user(id, data: UpdateUserRequest):
+    return db.update(User, id, **data.dict(exclude_unset=True))
+```
+
+## API4:2023 — Unrestricted Resource Consumption
+
+```python
+# ❌ 无限制（OOM/DoS 风险）
+@app.post("/api/upload")
+def upload(file: UploadFile):
+    save(file)  # 10GB 文件？
+
+@app.get("/api/users")
+def list_users():
+    return db.query(User).all()  # 100 万行？
+
+# ✅ 限制 + 分页 + 速率
+@app.post("/api/upload")
+async def upload(file: UploadFile = File(max_size=10_000_000)):  # 10MB 上限
+    save(file)
+
+@app.get("/api/users")
+@rate_limit(100, per_minute=True)
+def list_users(page: int = 1, limit: int = Field(default=20, le=100)):
+    return db.query(User).offset((page-1)*limit).limit(limit).all()
+```
+
+## API5:2023 — Broken Function Level Authorization
+
+```python
+# ❌ 只在前端隐藏 admin 按钮，API 无权限检查
+@app.delete("/api/users/{id}")
+def delete_user(id):
+    db.delete(User, id)  # 任何登录用户都能删任何人
+
+# ✅ 后端 RBAC
+@app.delete("/api/users/{id}")
+@requires_role("admin")  # 装饰器检查
+def delete_user(id, current_user):
+    db.delete(User, id)
+```
+
+## JWT 硬化清单
+
+| 配置项 | 推荐值 | 说明 |
+|--------|--------|------|
+| 算法 | RS256/ES256 | 不用 HS256（对称密钥泄露风险）|
+| Access TTL | 15min | 短 TTL 降低泄露影响 |
+| Refresh TTL | 7d | 带轮换（每次刷新换新 token）|
+| 密钥轮换 | 90d | 定期换签名密钥 |
+| 不存 localStorage | — | 用 HttpOnly Cookie 防 XSS |
+| 撤销列表 | Redis | JWT 默认无状态，需黑名单机制 |
+
+## OAuth2 企业级要点
+
+- **不用 implicit flow**（已弃用）— 用 Authorization Code + PKCE
+- **redirect_uri 白名单** — 精确匹配，不允许通配
+- **state 参数** — 防 CSRF
+- **scope 最小化** — 只申请必需权限
+- **token 撤销端点** — 支持主动撤销