常见WEB应用登录身份认证方式对比

身份认证和登录是两个不同的概念，登录指从识别用户身份，到允许用户访问其权限相应的资源的过程。在登录的过程中，“鉴权”与“授权”是两个最关键的过程。而身份认证只是其中的一个环节，即“鉴权”。

身份认证的形式丰富多彩，传统的方式是用户名和密码验证。随着等保2.0普及，越来越多的应用需要采用双因素认证或多因素认证，即多种认证方式组合使用来保证用户登录的安全性。目前常见的WEB应用登录身份认证登录方式包括USBkey ID绑定登录，OTP动态口令，CA数字证书，FIDO快速身份认证等。各种登录方式的对比如下：

USB Key ID：服务器端绑定用户名和KeyID，这样客户端登录时，进行验证；优点是集成方便，但安全性是最低的，同时需要客户端安装插件读取KeyID。

OTP：一次动态口令验证，是指计算器系统或其他数字设备上只能使用一次的密码，有效期为只有一次登录会话或交易。相对于静态密码，OTP 最重要的优点是它们不容易受到重放攻击。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它，因为它将不再有效。第二个主要优点是，使用多个系统相同（或类似）密码的用户，如果其中一个密码被攻击者获得，不是对所有的系统都容易变得脆弱。

CA数字证书：由于基于非对称密钥，安全性相对最高，可以采用双向认证方式支持。服务器证书可由第三方可信机构签发，标识，便于用户识别和通讯加密。防范网站假冒钓鱼以及数据安全。客户端证书由客户自己签发（微软CA、openssl等）。相比于其它认证方式，对服务器资源消耗更多，成本也高一些。

FIDO快速身份认证：和CA数字证书认证一样，基于非对称密钥，服务器端只保存客户公钥，私钥只留存在客户端，安全性高。同时一个USBkey中可以注册多个密钥对，同时实现多个应用系统的支持。而且FIDO在多个操作系统上的安全和易于访问，支持Windows10/11、macOS、Linux、Android平台，以及 Google Chrome、MozillaFirefox、MicrosoftEdge、360和 AppleSafari等多数网络浏览器；客户端无需安装任何插件。

安当身份认证平台ASP，目前已集成了OTP和FIDO两种认证方式，实现一个统一后台集中管理，重点开发了服务器端管理功能，便于快速部署和用户管理，客户只需要简单的调用即可快速享受到OTP或者FIDO身份认证服务，同时系统支持私有化部署和云端直接调用服务。

上海安当技术有限公司致力于开发身份认证、数据加密类产品，依托集中化、跨平台的密钥管理系统，专注于为金融、政府、企业等客户提供更加安全，便捷的身份认证管理和数据加密解决方案。公司主要产品及服务简称为4S：身份认证服务平台（Authentication Service Platform），密钥管理平台（Key Safe Platform），硬件加密机（Hardware Security Module)，数据加密集成服务（Data Security Integration）。