7.3.1 敏感信息（密码、Token）安全处理

文档摘要

7.3.1 敏感信息（密码、Token）安全处理在系统安全的纵深防御体系中，敏感信息的处理从来不是一道选择题，而是一道必须满分作答的生存题。你或许已经为API加了OAuth 2.1授权、为传输层启用了TLS 1.3、为数据库配置了列级加密——可当一条的请求悄然穿过防火墙，当一个硬编码在里的被误提交至GitHub，当前端JavaScript中一段把JWT明文钉在用户浏览器里……那一刻，所有精心构筑的防线，都成了纸糊的城墙。密码与Token，是身份认证的“数字指纹”，更是攻击者撬动整个系统的阿基米德支点。它们不存储在保险柜里，而流动于内存、日志、网络、配置、缓存、甚至开发者的IDE历史记录中。真正的安全，不在“是否加密”，而在“何时解密、谁可访问、何处残留、如何消亡”。