单点登录之如何平衡 Token 安全性和用户体验?

于 2020-09-24 16:24:07 发布
阅读量665 收藏 2
点赞数
分类专栏: 技术随笔 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nidengxia/article/details/108777062
版权
本文探讨了在单点登录中如何利用Access Token和Refresh Token平衡用户数据安全性和用户体验。Access Token用于访问资源,短期有效,而Refresh Token用于获取新Access Token,长期有效,降低用户频繁登录的需求。系统管理员可通过定制会话管理,如设置Token过期时间,以增强安全性。
摘要由CSDN通过智能技术生成

在 《IDaaS 技术解析系列(一)》中,我们介绍了在单点登录中Token认证相对于传统基于Session认证的优势,本文继续介绍一组相关概念:Access Token & Refresh Token。

Token作为用户获取受保护资源的凭证,必须设置一个过期时间,否则一次登录便可永久使用,认证功能就失去了意义。但是矛盾在于:过期时间设置得太长,用户数据的安全性将大打折扣;过期时间设置得太短,用户就必须每隔一段时间重新登录,以获取新的凭证,这会极大挫伤用户的积极性。针对这一问题,我们可以利用Access / Refresh Token这一概念来平衡Token安全性和用户体验。

Access / Refresh Token是什么?

图 1

 

上图表示Access/Refresh Token在客户端、认证服务器、资源服务器三者之间的传递关系,简单来说:

  • Access Token即“访问令牌”,是客户端向资源服务器换取资源的凭证;
  • Refresh Token即“刷新令牌”,是客户端向认证服务器换取Access Token的凭证。

Access / Refresh

最低0.47元/天 解锁文章
IDaaS杂谈
关注
专栏目录
博客
单点登录实现之后,各个系统的账号同步怎么做?
09-10 4777
随着企业采购的业务系统增多,各个系统账户独立维护使得运维复杂度上升、手动管理难度加大,此外手动操作也会存在一些安全隐患。因此,企业应该开始思考如何打通“烟囱林立”的业务系统,建立自动化的账号同步体系,实现系统之间的高效安全的连接,从而提升整体运维效率和安全性。账户管理的痛点具体来说,企业IT部门在维护复杂的业务系统账户时,首先面对的是手动操作带来的高工作量和高风险——内部应用和人员数量不断增加,人员组织架构调整频繁,内部人员角色(正式员工/临时工、渠道/合作伙伴等)也开始变得复杂,每个业务系统的管理
博客
用“密码代填”实现单点登录,安全吗?
10-23 2050
密码代填是一种帮助用户实现自动登录的方式,它通过自动模拟用户填写账号密码的方式来进行登录,严格来说它不属于单点登录范畴,由于国内不少企业采用这种方式来登录日常应用,所以也成为了一种广泛应用的实现单点登录的形式。有人说密码代填很落后,有人说它有特定的应用的场景,那么“密码代填”到底安全吗?是否值得采用?本文就来深入探讨一下。一、“密码代填”的几种常见方式“密码代填”顾名思义就是程序代替用户填写登录信息表单,实现自动登录的过程。主要有以下几种实现方式。1. 通过应用提供的接口获取账号密码.
博客
单点登录协议有哪些?CAS、OAuth、OIDC、SAML有何异同?
10-22 6195
单点登录实现中,系统之间的协议对接是非常重要的一环,一般涉及的标准协议类型有 CAS、OAuth、OpenID Connect、SAML,本文将对四种主流 SSO协议进行概述性的介绍,并比较其异同,读者亦可按图索骥、厘清关键概念。一、认证与授权的区别在介绍具体协议之前,有必要先说明“认证(Authentication)”和“授权(Authorization)”的区别。 认证(Authentication)即确认该用户的身份是他所声明的那个人; 授权(Authorization).
博客
企业灵活用工,账号管理难?棘手的问题交给 IDaaS 处理
10-15 280
灵活用工目前已经成为一种非常主流的用工形式,可以有效解决企业在发展过程中面临的用工成本问题。但是,灵活用工中多变的用工时间和复杂的用工角色,也给企业的IT管理带来一定的挑战。本文我们将针对灵活用工身份管理中存在的痛点提出一份合理的数字化解决方案,希望对遇到类似痛点的企业有所帮助。随着人力制造成本的不断提升,用工问题已经成为制约企业发展的关键性问题。灵活用工因其在用工时间和用工形式方面的灵活性,成为众多企业解决成本问题的关键途径,也逐渐成为一种新的趋势。据统计,中国公共劳工市场于2019年12月3.
博客
等保2.0时代,企业身份与访问合规怎么做?
10-13 528
等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。而《网络安全法》的出台,更是将等级保护制度提升到了法律层面。2019年12月,网络安全等级保护制度2.0(简称“等保2.0”)正式实施。等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0中和“身份与访问管理”相关的内容很多,如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战
博客
单点登录技术解析:社会化登录是什么?企业是否应该实施?
09-29 641
社会化登录,是指用户使用社交平台的身份认证信息在第三方应用或网址进行认证登录的流程,比如大家经常使用个人微信、QQ、微博等社交账号登录滴滴、网易云音乐等。社会化登录不仅有助于简化用户在第三方平台的登录体验,同时也为用户在第三方平台创建新账号提供了一种更为简单便捷的方式。不论是对于普通用户来说,还是企业来说,社会化登录都有着无可比拟的优势。尽管社会化登录有着自己独特的优势,但是也确实会给企业带来一些隐患。本文将分享我们关于社会化登录的一些思考,以帮助大家更好地考虑社会化登录的实践。社会化登录是如何运作
博客
低代码实现 IT 系统账号同步管理
09-18 440
很多企业的 IT 系统都是委托外部厂商进行定制化开发部署,比如身份访问管理系统由 IAM 厂商经过 2 个月定制开发,一次性交付后,后续系统维护由企业 IT 部门承担。一旦系统运行出现了问题或系统需升级时,企业 IT 运维只能在几十万行“别人写的代码”中找 bug,或在别人写的代码基础上进行二次开发,继续陷入“写代码-找bug”的循环中……“如果不用写代码,就不用在代码中找 bug 了吧?”“低代码”是近两年来逐渐升温的概念,指企业的开发人员可以使用标准化的低代码产品和服务,通过在界面化...
博客
云原生安全模型与实践
09-11 499
作者介绍:陈伟嘉,毕业于加州大学尔湾分校,曾就职于Facebook、Splunk,现任玉符科技 CTO,负责玉符 IDaaS 技术架构设计和实现,带领研发团队从 0 到 1 实现产品自主研发,搭建无状态化支持、轻量化容器打包、运维自动化等微服务架构。在传统的研发中,我们经常关注的「安全」包括代码安全、机器(运行环境)安全、网络运维安全,而随着云原生时代的到来,如果还按原有的几个维度切分的话,显然容易忽略很多云原生环境引入的新挑战,我们需要基于网络安全最佳实践——纵深防御原则,来逐步剖析「云原生的安.
博客
IDaaS 技术解析 | 单点登录技术之 Token 认证
09-03 2767
IDaaS 即提供基于云的身份认证和管理服务的平台,确保在准确判定用户身份的基础上,在正确的时间授予用户正确的应用、文件和其他资源的访问权限。IDaaS 能提供多种标准化功能帮助用户实现高效、安全的身份认证管理服务,如单点登录、智能多因素认证、账号生命周期管理等等。由于 IDaaS 在国内尚属于新兴产品形态,很多人对它只有模糊的印象,所以我们计划用一系列文章,深入浅出介绍 IDaaS 相关的技术原理和细节。本文是“IDaaS 技术解析”系列的第一篇。单点登录在技术上涉及协议对接、认证方式等诸多细节,.
博客
企业如何做好密码管理?
08-27 865
想象一个场景:IT 运维小叉为公司新人小A开通了 10 多个应用系统账户,企业微信、绩效系统、CRM 系统、公司内网云盘等等,“健忘症患者“小A为了方便记忆,将各个系统密码全部设置为 “123456!”,并保存在浏览器中设置自动填充。十天后小A误点了钓鱼网站,公司系统的账户被盗,内部资料被窃取——小叉同学表示非常心累&崩溃。不只是安全问题,更是效率“杀手”现代企业的应用系统越来越多,如果员工在每个应用上设置不同的高强度密码,在不允许浏览器自动填充的情况下,员工可能每天都奔波在“找回密码”
博客
构成“零信任生态系统”的7个主要元素是什么?
08-21 498
如今,企业的业务和商业流程已不再局限于物理环境内,传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求,企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。在这样的大背景下,Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初,Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是网络分段,提倡通过加强细粒度授权和威胁管控来提升整体业务安全性。随着时代的发展,业界逐渐开始将零信任与网络分
博客
IT 安全运维必看:零信任生态模型的 7 大技术维度
08-19 596
如今,企业的业务和商业流程已不再局限于物理环境内,传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求,企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。在这样的大背景下,Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初,Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是网络分段,提倡通过加强细粒度授权和威胁管控来提升整体业务安全性。随着时代的发展,业界逐渐开始将零信任与网络分
博客
零信任架构下身份管理系统的落地挑战
08-19 746
在上篇文章中,我们介绍了零信任概念与身份管理之间的关系——身份管理是零信任安全体系构建不变的核心需求。本文继续聊聊在国内市场环境下,打造一个成熟的零信任身份管理模型面临着什么样的挑战,及其架构要点。一、身份管理的落地挑战由于国内企业的技术基础、业务形态、市场政策环境的特殊性,在零信任架构下,身份管理系统的落地面临着诸多挑战:1. 身份数据连接动态的身份控制需要有丰富的身份数据做支撑。中国企业在管理身份数据方面存在不少痛点,比如无法对分散在各系统中的身份数据进行统一管理和分析,...
博客
如何打造零信任时代的身份管理系统?
08-17 680
疫情期间,我们骤然发现自己添了很多“身份证明”:小区出入证,公司大厦出入证,健康宝无异常证明,运营商的 14 日出行轨迹证明……个人日常生活不再笼统,而是分裂成无数场景,在不同场景下验证不同的“身份”;换个角度,疫情安全防控本质的初始是个人身份的验证和出入授权。这对于现代企业的信息安全防控与管理而言,有何启发?一、零信任与身份管理零信任是一个安全概念,自 2010 年提出后,近年来逐渐由理论走向实践。它认为由于网络流量的不可信因素,使得网络环境中的人、事和物之间的连接变得脆弱,易受到外部或内部环.
博客
一文读懂零信任架构的概念、现状和挑战(来自玉符科技CEO专访内容)
08-13 2392
2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规、远程办公加速安全边界消失、数字化转型(上云)。而零信任正是当下企业渴望的一种能够应对以上挑战的,全新的网络安全防御方法和体系。零信任不仅可以保护整个企业范围内的总体边界,还可以将企业的安全边界移动到组织内外的每个网络、系统、用户和设备从而使更细粒度和更高效的安全访问控制成为可能。总之,零信任架构的本质是一次(身份管理)安全范型的转移或者变革。因此成功实施零信任架构的决定
博客
玉符科技CTO陈伟嘉成为“腾讯云最具价值专家”一员
07-15 502
近日,玉符科技CTO陈伟嘉先生入驻“腾讯云最具价值专家”,和来自腾讯云、京东零售等知名科技企业的12位杰出技术专家一起,秉持“用科技影响世界”这一共同追求,集结于腾讯云TVP,共同推动云计算发展,构建开发者生态。腾讯云最具价值专家,简称 TVP(Tencent Cloud Valuable Professional),是腾讯云颁发给第三方技术专家们的一项荣誉认证,以此感谢他们为推动云计算技术的发展所作出的贡献。这些技术专家来自于各个技术领域和行业,是技术和行业实践的领导者,他们热衷实践、乐于分享,为技术
博客
腾讯云与玉符科技联合发布“千帆玉符”助力IDaaS行业发展
06-09 1094
6月5日,腾讯云宣布与玉符科技达成战略合作,合作共建“千帆计划”的IDaaS平台。双方联合研发的身份治理服务千帆玉符将于近日上线。「千帆计划」是腾讯于 2019 年10 月 29 日发布的 SaaS 生态计划,整合了腾讯云、企业微信、腾讯SaaS加速器、腾讯位置服务等内部资源,与优质的 SaaS 公司在腾讯生态内相辅相成,旨在共建生态,推动国内SaaS市场快速发展。玉符科技于 2016 年成立,是行业领先的身份治理服务商。其自主研发的身份管理平台可帮助企业实现身份数据集中管理、访问控制、账号生命周期管理
博客
腾讯云与玉符科技联合研发的身份治理服务-千帆玉符近日上线。
06-05 1223
6月5日,腾讯云宣布与玉符科技达成战略合作,合作共建“千帆计划”的IDaaS平台。双方联合研发的身份治理服务千帆玉符将于近日上线。玉符科技成立于2016年,是行业领先的身份治理服务商,其自主研发的身份管理平台可帮助企业实现身份数据集中管理、访问控制、账号生命周期管理等身份信息管理功能。IDaaS是腾讯SaaS生态技术中台的重要组成部分,其作用在于建立起统一的身份认证体系,实现SaaS厂商之间互联互通。对于终端客户来说,通过一个账号即可购买和集成多种SaaS服务。技术中台还包括iPaaS(集成平台即服务
博客
玉符IDaaS解决组织架构同步难题,让人员信息管理更灵活!
05-07 1204
什么是组织架构同步?组织架构同步是指企业的IT管理员根据企业的组织架构调整和人事变动对存储在各应用系统中的组织架构和人员等身份信息进行同步更新和调整的动态管理流程。企业在进行组织架构同步时会遭遇哪些挑战?1.缺少接口2.开源工具兼容性差,难度高3.缺乏灵活规则管理玉符如何帮助企业实现组织架构同步?玉符着力研发的SyncFlow,是一个低代码同步逻辑配置平台,IT管理员只需了解一定的脚...
博客
单点登录案例,单点登录在餐饮及零售行业的应用解决方案
04-28 300
单点登录能解决餐饮及零售行业哪些IT问题呢?本篇文章将和大家说说单点登录案例之餐饮及零售行业解决方案。众所周知,餐饮及零售企业门店数量多、布局分散,且人员数量众多、涉及正式员工、临时工、经销商、供应链合作伙伴等多种角色,再加上同一人员所拥有的身份字段信息复杂,企业很难通过同一套系统对所有人员的身份信息、以及同一人员的多维度字段信息进行集中安全管理。玉符科技IDaaS具备单点登录及多源集成能力,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值