System Security 基础

Security 是一个很 broad 的话题，这里聚焦在 System Design 面试里最常用的基础。

核心目标

• Confidentiality：防止数据泄露
• Integrity：防止数据被篡改
• Availability：保证服务持续可用

常见实践

• Encryption in transit / at rest：传输与存储加密
• Authentication / Authorization：身份认证与授权（RBAC、ABAC）
• Input validation：防止 XSS、SQL Injection
• Parameterized queries：避免 SQL 注入
• Least privilege：最小权限原则
• Secrets management：API keys、tokens 的安全存放
• Audit logging：关键操作留痕，便于追踪与合规
• Rate limiting / WAF：限制恶意流量，减少攻击面

System Design 中常见的 auth/security 组合

• OAuth 2.0：授权（scope + token）
• OIDC：补齐身份层
• SSO：一次登录访问多个 systems
• TLS / mTLS：传输加密与 service-to-service 双向认证

来源及延伸阅读

• Security Guide for Developers
• OWASP Top Ten