好像现在很多移动公司正开展着4A项目的安全建设,参照的依据便是移动集团关于4A安全建设的规范。4A便是Account、Authentication、Authorization和Audit(账户管理,认证管理,授权管理,审计管理)的缩写,缺一不可。
4A系统负责用户主帐号管理;在应用资源与4A系统集成后,4A系统也要实现对应用资源侧的从帐号管理。根据应用资源与4A系统集成规范,对账户密码管理方式做个总结:
应用资源侧应做到一个自然人对应一个主帐号,而不是一个主帐号由多个自然人共享,主帐号以UID作为自然人身份的唯一标识。一个主帐号可对应一个从帐号,也可同时对应多个从帐号(每个从帐号对应一个岗位或职务的权限)。
如果一个主帐号在一个应用资源内有多个从帐号的话,用户需要在登录界面中选择使用某一个从帐号进行访问。主帐号认证方式由静态口令认证方式与动态短信认证方式(国内用户)或数字证书(海外用户)认证方式组成。
考虑到从帐号密码维护的安全性,如下约定:
1、应用资源的从帐号密码应与主帐号密码保持一致;当在4A系统中修改主帐号密码时,同时修改从帐号密码。当密码过期时,4A系统只负责提醒用户修改密码,4A系统不会自动修改主帐号密码。
2、当4A系统正常时,用户不应在应用资源侧自行修改从帐号密码;
3、对于多个主帐号对应一个从帐号的情况,4A系统将不维护该从帐号的密码,而由资
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
