用户身份验证真的很轻松吗
发布时间:2022-03-01 12:52:36 所属栏目:安全 来源:互联网
导读:你现在要建立一个系统。无论系统的功能如何,用户身份验证都是始终存在的一个功能。实现它看起来应该很简单只需拖动一些现成的身份验证模块,或使用一些基本选项(例如 Spring Security)对其进行配置,就完成了。 是这样吗,不是的。上面说的是表面上的描述(
|
你现在要建立一个系统。无论系统的功能如何,用户身份验证都是始终存在的一个功能。实现它看起来应该很简单——只需“拖动”一些现成的身份验证模块,或使用一些基本选项(例如 Spring Security)对其进行配置,就完成了。 是这样吗,不是的。上面说的是表面上的描述(就比如要实现一个搜索引擎就一个输入框一个搜索按钮就行了??),要做到正确的身份识别极其复杂。这不仅仅是登录表单 -> 检查用户名/密码 -> 设置 cookie,还有很多其他的问题需要考虑的: 密码存储 在数据库中存储密码——bcrypt、scrypt、PBKDF2、SHA 多次迭代? 免密登录 允许存储在浏览器中,一般为“是”,但有些应用在发送前故意对其进行哈希处理,使其无法自动存储 密码重置 密码重置令牌数据库表或与 HMAC 的过期链接?限制密码重置? SSO 您的服务是否应该支持 LDAP/ActiveDirectory 身份验证(也许是),它是否应该支持 SAML 2.0 或 OpenID Connect,如果支持,哪些?还是全部?是否应该只支持 SSO,而不是内部身份验证吗? 2FA – TOTP 实施整个 2FA(双因素认证) 流程,包括启用/禁用,或备份代码;在一段时间内不为特定设备请求 2FA来添加选项?根据某些组成员身份,配置 AD/LDAP 用户子集进行身份验证? 强制配置 2FA 通过管理员配置强制 2FA – 在启用全局选项后实现激活 2FA 的时间窗口? 一次性登录 通过链接登录 – 是否支持通过电子邮件发送一次性登录链接的选项? 身份验证日志 专用身份验证日志 - 保留所有登录的历史记录,包括时间、IP、用户代理 强制注销 是否需要注销所需的已登录设备的功能。 允许移动设备保持登录状态 是否让移动设备保持登录状态——客户端应该存储什么?(当然不是密码明文) 身份验证是每个应用程序基本的功能。但很多开发人员或PM都不重视它。IT 世界很复杂,没有什么是简单的。 发送电子邮件不简单,身份验证不简单,日志记录也不简单。处理字符串和日期并不简单,清理输入和输出也不简单。 我们在构建框架和工具,来帮助我们完成所有这些事情方面做得不够好。我们要积极对待这些问题,思考它们并做出最正确的方案。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号