AD系统
CRM系统 LDAP
应用信息系统账号的集成:
权限分层,认识并理解用户访问权限的层级是认证体系建设的关键之一。
存量系统:账号映射
应用中存在的问题:
授权和委托:
单点登录:在多个系统中,用户只需要登录一次,各个系统就可以感知到用户已经登录
用户登录的逻辑:
- 用户登录时,验证用户的账户和密码
- 生成一个Token保存在数据库中,将Token写到Cookie中
- 将用户数据保存在Session中
- 请求时都会带上Cookie,检查有没有登录,如果已经登录则放行
解决方案:
- SSO系统生成一个token,并将用户信息存到Redis中,并设置过期时间
- 其他系统请求SSO系统进行登录,得到SSO返回的token,写到Cookie中
- 每次请求时,Cookie都会带上,拦截器得到token,判断是否已经登录
cookie跨域问题
- 服务端将Cookie写到客户端后,客户端对Cookie进行解析,将Token解析出来,此后请求都把这个Token带上就行了
- 多个域名共享Cookie,在写到客户端的时候设置Cookie的domain。
- 将Token保存在SessionStroage中(不依赖Cookie就没有跨域的问题了)
CAS (Central Authentication Service)重定向到sso认证中心,并将自己的地址作为参数
双因子认证:
双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。
目前常用的双因子认证有:
1.验证另一个账号的所有权:邮件、短信、微信
典型的实现方式是认为同一个用户拥有另一个系统的账号,验证另一账号即可。例:用户注册QQ时,需提供手机号码。当用户操作时,系统探测到用户操作异常或本次涉及敏感操作,例提现、转账等,系统就会发送随机验证码到预留手机号,以确认真实身份。但这种方法对于服务提供者来说会产生额外费用,邮件及短信运营商都会按条计费。
2.验证当前用户的生物特征: 人脸识别、指纹识别、声音识别
随着人工智能的兴起,生物特征识别也能简单实现,可以使用人脸、指纹、声音等生物特征进行识别。但该方法容易引起用户反感,大多数用户都不愿意让应用轻易使用自己的生物特征等敏感信息。
3.验证以前初始化的一个动态令牌的掌握情况:Google2FA、QQ令牌
Google2FA和QQ令牌使用的是同一种形式,即在初始化时将随机密码传递给用户,并且在服务端储存一份。在需要验证时,客户端根据密码+时间+特定的加密算法单向运算出一个校验码,用户输入该校验码,服务端通过相同的密码+时间+加密算法也进行相同的计算,比较两者是否相同,即可实现二次验证。
作者:云山雾隐
链接:https://www.zhihu.com/question/28150284/answer/2218455296
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
总结:目前我们系统制裁风险智能管控平台和很多系统也均采用了这种统一单点登录的方式进行系统集成,并抽取出公共模块,用做系统用户的认证和角色权限管理,使用redis和CAS单点重定向来实现的架构。
9537
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
