https://peter-notes.com/tags/authentication/Recent content in Authentication on Peter.H's Full-Stack GAMEhttps://peter-notes.com/images/og-image.jpghttps://peter-notes.com/images/og-image.jpgHugozh-twTue, 21 Apr 2026 00:00:00 +0000https://peter-notes.com/posts/strapi-forgot-password-anti-enumeration/Tue, 21 Apr 2026 00:00:00 +0000https://peter-notes.com/posts/strapi-forgot-password-anti-enumeration/從一次 kubectl 排查出發，解析為何 Strapi 忘記密碼 API 對不存在的 email 仍回 200，並深入釣魚工具（Gophish、Evilginx2）與撞庫工具（OpenBullet）的運作與經濟模型，說明 App 文案為何必須配合後端的 anti-enumeration 設計。https://peter-notes.com/posts/strapi-v5-auth-refresh-route-pitfall/Fri, 06 Feb 2026 00:00:00 +0000https://peter-notes.com/posts/strapi-v5-auth-refresh-route-pitfall/深入剖析 Strapi v5.31+ 將 /auth/refresh 改為內建路由後，導致 JWT 過期呼叫 refresh 回傳 403 的根因與修復方式。一個版本升級隱含的行為變更，如何讓除錯方向完全走偏。https://peter-notes.com/posts/oauth-refresh-token-outsourcing-lessons/Sat, 06 Dec 2025 00:00:00 +0000https://peter-notes.com/posts/oauth-refresh-token-outsourcing-lessons/從會員反映資料消失，到發現是 Token 過期問題，再到翻出合約證明外包商沒做完整的 OAuth 2.0。一個技術問題背後，揭露的是外包驗收與合約管理的重要教訓。