v0ropaev/zta-internal-api-prototype

# 零信任内部API原型 ## 架构  每个服务都是一个**策略执行点（PEP**），对每个请求执行以下四个关闭失败检查，顺序如下： | # | 检查 | 拒绝 | |---|-------|---------| | 1 | **mTLS** - nginx 验证客户端证书是否存在 | 无证书或无效证书的请求（在TLS层） | | 2 | **JWT** - 签名（通过 JWKS），`iss` / `aud` / `exp` / `nbf` / `scope` | 伪造、过期或地址错误的令牌 | | 3 | **持有证明** - `cnf.x5t#S256` 等于提供的证书的指纹 | 从不同证书重新播放的令牌 | | 4 | **授权** - 中央 **PDP** 允许主题 + 动作 + 资源 | 超出最小权限的动作 | mTLS 终止的反向代理遵循 RFC 8705 §3 中描述的部署：nginx 验证客户端证书链，并将叶证书转发到应用程序，应用程序重新推导绑定检查的指纹（深度防御）。 ## 快速入门 ## 组件 ## 标准 - [RFC 8705](https://www.rfc-editor.org/rfc/rfc8705) - OAuth 2.0 互信-TLS 客户端身份验证和证书绑定访问令牌 - [RFC 7800](https://www.rfc-editor.org/rfc/rfc7800) - JWT 的持有证明密钥语义（`cnf`） - [RFC 7519](https://www.rfc-editor.org/rfc/rfc7519) - JSON Web Token - [NIST SP 800-207](https://doi.org/10.6028/NIST.SP.800-207) - 零信任架构 ## 许可证 MIT - 查看 [LICENSE](LICENSE).

标签：JWT, Nginx, NIST SP 800-207, RFC 7519, RFC 7800, RFC 8705, Streamlit, TLS, XML 请求, 互信, 内部API, 反取证, 安全实现, 安全开发, 安全测试, 安全漏洞, 安全演示, 安全策略, 安全认证, 安全设计, 安全评估, 安全防护, 快速API, 提示词设计, 攻击性安全, 访问控制, 证书绑定, 防御工具, 零信任架构