认证与鉴权与授权系统设计与实践总结经验

于 2024-02-08 09:58:15 发布
阅读量458 收藏 7
点赞数 8
分类专栏: 后端 架构 API 文章标签: 网络 架构 java php golang python postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33665793/article/details/136054492
版权
后端 同时被 3 个专栏收录
273 篇文章 6 订阅
订阅专栏
API
257 篇文章 0 订阅
订阅专栏
架构
218 篇文章 0 订阅
订阅专栏

在现代应用开发中,设计和实现一个安全可靠的认证鉴权与授权系统是至关重要的。本文将介绍认证鉴权与授权系统的设计原则,并分享一些实践经验,帮助开发人员更好地设计和实现适合自己项目的认证鉴权与授权系统。

 设计原则:
   - 最小权限原则:为每个用户或角色分配最小必需的权限,以减少潜在的安全风险。
   - 分层授权原则:根据应用的不同功能模块和资源,将授权细分为不同的层级,确保精确控制访问权限。
   - 多因素认证原则:结合多种因素进行身份验证,如用户名密码、验证码、指纹等,提高认证的安全性。
   - 审计与监控原则:记录和监控用户的操作行为,及时发现异常或非法操作,并采取相应的措施。
   - 防御性编程原则:在设计和实现过程中考虑安全漏洞和攻击手段,采取相应的防御性编程措施。

1. 认证系统设计:
   - 用户认证:使用安全的认证方式,如哈希加盐存储密码、使用HTTPS等。
   - 身份认证:根据用户的身份信息,识别用户并与权限系统进行关联。
   - 多因素认证:结合多种认证方式,提高身份验证的安全性。

2. 鉴权系统设计:
   - 身份鉴别:根据用户的身份信息,识别用户并与权限系统进行关联。
   - 会话管理:对用户会话进行有效管理,包括会话过期、注销登录等操作。
   - 访问控制:基于角色或权限的访问控制,限制用户对资源的访问权限。
   - 多因素认证与授权:结合多种认证方式,提高身份验证的安全性。

3. 授权系统设计:
   - 权限管理:定义和管理不同角色及其对应的权限,实现细粒度的授权控制。
   - 角色继承:通过角色继承机制,简化权限管理,减少冗余设置。
   - 动态授权:支持动态添加、修改和删除权限,灵活应对业务变化。
   - API访问控制:对于API接口,采用基于令牌或签名的授权方式,确保只有合法应用可访问。

4. 实践经验:
   - 使用成熟框架:选择已经经过验证的认证鉴权框架,如Spring Security、Shiro等。
   - 强化密码安全性:要求用户使用强密码,并定期更新密码,使用哈希加盐存储密码。
   - 限制登录尝试次数:设置登录失败次数限制,防止暴力破解攻击。
   - 定期审计权限:定期审核和清理不再需要的角色和权限,确保系统的安全性和效率。
   - 静态资源控制:对于静态资源(如图片、CSS、JS文件),设置合适的访问权限,防止盗链和非法访问。

结论:
认证鉴权与授权系统设计与实践是应用开发中至关重要的一环。通过遵循设计原则和实践经验,可以构建安全可靠的认证鉴权与授权系统,保护用户数据和应用资源的安全。

007php007
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
集成网关后怎么做权限隔离——统一鉴权
09-22 1339
商场停车场景中,除了极少数功能不需要用户登陆外(如可用车位数),其余都是需要用户在会话状态下才能正常使用的功能。上个章节中提到,要在网关层实现统一的认证操作,本篇就直接带你在网关层增加一个公共鉴权功能,来实现简单的认证,采用轻量级解决方案 JWT 的方式来完成。 为什么选 JWT JSON Web Token(缩写 JWT)是比较流行的轻量级跨域认证解决方案,Tomcat 的 Session 方...
一文搞定权限管理!授权鉴权超详细解析
Viper的程序员修炼手册
06-30 5000
一文搞定权限管理!授权鉴权超详细解析 授权概览 什么是授权 (Authorization)? 广义上的授权: 是上级将完成某项工作所必须的权力授给部属人员;是领导者通过为员工和下属提供更多的自主权,以达到组织目标的过程。 信息系统中的授权: 是管理员将某些资源的访问、管理、操作等权限赋予用户,达到管理和使用的目的。譬如主机的访问使用权限,某项功能菜单的使用权限亦或是某个数据的读写权限。 本文将对信息系统中的授权进行着重讲解 授权的意义 授权管理是所有业务系统不可缺少的一部分! 企业角度: 1)贴合管理制度
认证授权鉴权、权限控制
weixin_35016347的博客
09-24 9938
相关概念 几个易混淆的个概念: 认证(Identification): 根据声明者持有的特定信息,来确认声明者的身份 例如身份证、用户名/密码、手机(包括短信、二维码、手势密码)、电子邮箱、生物特征(虹膜、面部、指纹、语音等) 高安全要求的场景下,会使用多种认证方式组合进行身份校验,即多因素认证 授权(Authorization): 资源所有者委派执行者,赋予其指定范围的权限,执行对资源的操作 授权实体例如银行卡、门禁卡、钥匙、证书等 例如web服务的session机制、浏览器的cookie机制、
JWT使用教程
FishLearning的博客
10-16 2708
JWT使用教程 1、什么是jwt # 1、官网地址 https://jwt.io/introduction/ jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对其进行签名 # 2、通俗解释 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方
鉴权系统搭建(JWT)
偷得浮生半日闲
12-18 2730
1.JWT 1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 1.2.数据格式 普通的token:32位...
rpc 微服务架构下的安全认证鉴权1
08-08
2. 分布式 Session 方案分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中,且通常由用户会话作为 key 来实现的简单分布式哈希映射 3.
基于Java的面向REST API高性能认证鉴权框架设计源码
最新发布
04-10
本项目是一个基于Java的面向REST API的高性能认证鉴权框架设计源码,共包含626个文件,其中包括227个Java文件、125个Markdown文件等。系统采用了Java、CSS、JavaScript、HTML和Kotlin等技术,为用户提供了一个功能...
系统权限管理软件设计说明书,抽象了统一身份认证鉴权体系
03-06
系统权限管理软件设计说明书,抽象了统一身份认证鉴权体系
论文研究-基于GBA的认证鉴权流程的设计与实现 .pdf
08-15
基于GBA的认证鉴权流程的设计与实现,任亚梅,李炜,在数据业务的客户端与应用服务器之间的交互过程中,安全问题是必不可少的一个重要环节。在目前开展的许多相关业务中,客户端与应
详解用JWT对SpringCloud进行认证鉴权
08-26
主要介绍了详解用JWT对SpringCloud进行认证鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一个面向对象的鉴权系统设计
再无此人的博客
11-13 672
目录要求分析和设计Token设计Url设计Stroage设计最终提供给其他人调用的第三方调用入口是这样的: 在学习了极客时间的设计模式之美后,发现了自己由于长时间写curd,导致思维都变得面向过程了。 记录一下整体设计的思路。 要求 关于鉴权系统要求如下: 调用方进行接口请求的时候,将 URL、AppID、密码、时间戳拼接在一起,通过加密算 法生成 token,并且将 token、AppID、时间戳拼接在 URL 中,一并发送到微服务端。 微服务端在接收到调用方的接口请求之后,从请求中拆解出 token、
鉴权中心系统设计
u010412301的博客
03-23 4334
鉴权中心系统设计转至元数据结尾转至元数据起始一、现有业务流程由于和钱相关的事件(借入、贷出、赚利差、转帐、扫码付款等)都需要前置校验,目前已有的鉴权方式有如下几项:拒绝操作短信交易密码(类型有:只有密码面板 OR 带余额以及支付方式)肖像认证登录密码指纹(TouchID)(目前仅仅适用于iPhone5S以上的用户)上传资料审核四要素鉴权(用户未绑卡,选择名字与身份证鉴权)身份认证+银行卡信息确认可...
接口自动化 --- 授权鉴权 以及实例说明
Monkey__yuan的博客
05-19 2091
一、 接口授权鉴权相关概念 什么是授权,什么是鉴权 授权: 相当于给一个通行证,由服务器下发 鉴权: 鉴定是否有权限访问(判断有没有通行证) 目前最常用三种认证机制 1) Cookies 2) Session 3) token 二、 实例说明: 接口文档说明 2 实现思路: i) 登录接口:成功登录后获取响应体中的token信息 ii ) 其他接口(请求头Authorization 需要token信息),需要将token信息拼接进请求头中 代码实现示例 1) 登录接口
如何从零开始设计一套权限&路由鉴权体系?【系列一】
qq_31364773的博客
09-22 233
基于vue的单页应用首先需要处理的就是路由拦截,登录鉴权,操作鉴权等等内容,接下来,就以一个中台管理系统为例,从零实现相关功能。
授权鉴权
热门推荐
sjy8207380的专栏
02-28 1万+
1,前言 在这里总结一下工作中遇到的鉴权授权的方法 ① 固定token的方案 通过在nginx或者代码中写死token,或者通过在限制外网访问的方式已来达到安全授权的方式 ② session方案 分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中。当用户访问微服务时,用户数据可以从共享存储中获取。 ③ 客户端token方案 例如JWT,令牌在客户端生成,由身份验证服务进行...
认证授权鉴权和权限控制
songjuntao8的专栏
08-13 803
认证 认证是指确认声明者的身份。对应英文 identification 单词。 常见的认证方式: 身份证 用户名和密码 手机:手机短息、二维码扫描、手势密码 电子邮箱 用户的生物学特征:指纹、虹膜 等等 授权 指获取用户的委派权限。对应英文 authorization 单词。 在信息安全领域,授权是指资源所有者委派执行者,赋予执行者指定范围的资源操作权限。 资源所有者:拥有资源的所有权限,一般就是资源的拥有者 资源执行者:被委派去执行资源的相关操作 操作权限:可以对资源进行的某种操
鉴权授权简介
菜鸟厚非
04-07 493
背景 目前互联网上帐号管理方式: 1、单一帐号系 统。只提供单一服务的网站采用的用户帐号管理模式。用户注册后使用此帐号可以在其网上上实现所有功能操作。 2、通行证。例如腾讯、163、微 软等提供多套服务的网站采用的帐号管理程序。用户在注册一次之后,使用该帐号可以在这些网站所属群里面自由使用。 OAuth2 身份认证授权。OAuth2不是身份认证(Authentication)协议,OpenId Connect可以进行身份认证(Authentication)。 OIDC,基于OAuth2的身份认
项目中遇到的授权鉴权问题解决方案
比我NB的人,仍然在努力
02-13 2576
目录 一、固定token方案 二、Session认证方案 三、客户端token方案(项目中采用的是此方案) 四、第三方授权方案 五、API请求签名 下面主要介绍工作中遇到的授权鉴权问题,采用的五种方案。 一、固定token方案      这是一种“懒人”的方案,在发送请求时,在cookie中带入固定值,在nginx中判断cookie中的值是否正确,如果正确则允许访问 服务...
认证 (authentication) 和授权 (authorization) 的区别
weixin_30852367的博客
08-08 2618
以前一直分不清 authentication 和 authorization,其实很简单,举个例子来说: 你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。 在 computer science 领域再举个例子:...
http协议鉴权授权
09-01
HTTP协议中的鉴权授权是指在客户端与服务器之间进行交互时,确保发送请求的用户身份可信并有相应的权限。 鉴权(Authentication)主要是验证发送请求的用户身份。常见的鉴权方式有基本认证(Basic Authentication)、摘要认证(Digest Authentication)和Bearer令牌认证(Bearer Token Authentication)等。其中,基本认证利用用户名和密码进行验证,而摘要认证则使用用户名、密码和随机数经过哈希算法生成令牌进行验证,而Bearer令牌认证则使用基于令牌的验证方式。 授权(Authorization)则是验证用户是否有权限执行某个请求。常见的授权方式有访问控制列表(Access Control List, ACL)、角色级授权(Role-Based Authorization)和声明式授权(Attribute-Based Access Control, ABAC)等。通过这些授权方式,服务器可以对不同用户或用户组进行权限管理,从而确保只有具备操作权限的用户才能执行对应的请求。 在HTTP协议中,通常使用特定的请求头字段进行鉴权授权操作,例如请求头字段中的`Authorization`字段用于携带鉴权凭证,而`Authorization`字段配合其他自定义请求头字段如`X-Authorization`可用于传递权限信息。 总结起来,HTTP协议中的鉴权授权是通过验证发送请求的用户身份和权限来确保通信双方的安全和合法性。通过鉴权授权的操作,服务器可以对请求进行筛选和管理,从而提供安全、可靠的网络服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

007php007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值