用户身份验证真的很简单吗

简介: 你现在要建立一个系统。无论系统的功能如何,用户身份验证都是始终存在的一个功能。实现它看起来应该很简单——只需“拖动”一些现成的身份验证模块,或使用一些基本选项(例如 Spring Security)对其进行配置,就完成了。

前言

你现在要建立一个系统。无论系统的功能如何,用户身份验证都是始终存在的一个功能。实现它看起来应该很简单——只需“拖动”一些现成的身份验证模块,或使用一些基本选项(例如 Spring Security)对其进行配置,就完成了。

是这样吗,不是的。上面说的是表面上的描述(就比如要实现一个搜索引擎就一个输入框一个搜索按钮就行了??),要做到正确的身份识别极其复杂。这不仅仅是登录表单 -> 检查用户名/密码 -> 设置 cookie,还有很多其他的问题需要考虑的:

  • Cookie 安全性

如何确保 cookie 不会泄漏或无法伪造。是否使用 cookie,或者使用 JWT 之类的无状态方法,使用 SameSite 宽松还是严格要求?

  • 绑定IP

如果IP更改,将cookie绑定到IP并注销用户?

  • 密码要求

最小长度、特殊字符?帮助选择密码的用户界面?

  • 密码存储

在数据库中存储密码——bcrypt、scrypt、PBKDF2、SHA 多次迭代?

  • 免密登录

允许存储在浏览器中,一般为“是”,但有些应用在发送前故意对其进行哈希处理,使其无法自动存储

  • 账号样式

电子邮件、用户名与手机号——你需要用户名吗?是否允许更改电子邮件、手机号码?

  • 限制登录错误数次

限制身份验证尝试 – 应该阻止多少次登录失败的帐户,管理员应该在多长时间内收到通知或至少记录锁定帐户?每个 IP、每个帐户的限制是这些的组合吗?

  • 验证码

你需要验证码吗,哪一种,允许多少次尝试?刷新验证码是一种选择吗?

  • 密码重置

密码重置令牌数据库表或与 HMAC 的过期链接?限制密码重置?

  • SSO

您的服务是否应该支持 LDAP/ActiveDirectory 身份验证(也许是),它是否应该支持 SAML 2.0 或 OpenID Connect,如果支持,哪些?还是全部?是否应该只支持 SSO,而不是内部身份验证吗?

  • 2FA – TOTP

实施整个 2FA(双因素认证) 流程,包括启用/禁用,或备份代码;在一段时间内不为特定设备请求 2FA来添加选项?根据某些组成员身份,配置 AD/LDAP 用户子集进行身份验证?

  • 强制配置 2FA

通过管理员配置强制 2FA – 在启用全局选项后实现激活 2FA 的时间窗口?

  • 一次性登录

通过链接登录 – 是否支持通过电子邮件发送一次性登录链接的选项?

  • XSS 保护

确保不存在 XSS 漏洞,特别是在登录页面上( XSS 可以窃取 cookie)

  • 身份验证日志

专用身份验证日志 - 保留所有登录的历史记录,包括时间、IP、用户代理

  • 强制注销

是否需要注销所需的已登录设备的功能。

  • 允许移动设备保持登录状态

是否让移动设备保持登录状态——客户端应该存储什么?(当然不是密码明文)

  • 保存用户登录地址

捕获用户的登录时区并将其存储在会话中以调整 UI 中的时间?

  • TLS 相互认证

如果我们需要支持使用私钥的令牌认证,我们应该启用 TLS 相互认证。证书库中应该有什么,Web 服务器是否支持每页双向 TLS 或者我们是否应该使用子域,如果有负载均衡器/反向代理,它是否支持以及如何转发证书详细信息?

  • 是否需要激活步骤

需要激活账户还是让用户在注册后立即登录?需要后台人员批准账户?

  • 初始密码设置

管理员创建的帐户的初始密码设置 - 生成初始密码并在首次登录时强制更改?不是生成密码并且从密码重置流程开始?

  • 登录异常检测

如何检测登录异常,应该通过什么方式通知用户吗?是否依赖第三方工具(例如 SIEM),还是内置此类功能?

身份验证是每个应用程序基本的功能。但很多开发人员或PM都不重视它。IT 世界很复杂,没有什么是简单的。发送电子邮件不简单,身份验证不简单,日志记录也不简单。处理字符串和日期并不简单,清理输入和输出也不简单。

我们在构建框架和工具,来帮助我们完成所有这些事情方面做得不够好。我们要积极对待这些问题,思考它们并做出最正确的方案。

目录
相关文章
|
4月前
|
资源调度 关系型数据库 API
一、next-auth 身份验证凭据-使用电子邮件和密码注册登录
本文是关于如何在Next.js应用中使用next-auth库实现基于电子邮件和密码的注册和登录功能的详细教程,包括环境配置、项目初始化、前后端页面开发、数据库交互以及用户状态管理等方面的步骤和代码示例。
一、next-auth 身份验证凭据-使用电子邮件和密码注册登录
|
4月前
|
JSON 安全 API
|
5月前
|
安全 Java 数据安全/隐私保护
使用Java实现安全的用户身份验证与授权
使用Java实现安全的用户身份验证与授权
|
6月前
|
JSON 监控 安全
构建安全的用户身份验证系统
【6月更文挑战第21天】 本文介绍了如何使用Flask和JWT构建安全的用户身份验证系统。JWT是一种流行的网络身份验证标准,由头部、载荷和签名三部分组成。在Flask中,通过安装`Flask`和`PyJWT`库,可以创建一个简单的身份验证系统,包括登录路由和受保护的资源路由。文章提供了示例代码,展示如何实现登录、验证JWT令牌、用户注册和令牌刷新。同时,强调了使用HTTPS、日志记录和安全性增强措施的重要性,以确保应用程序的安全性。文章结尾提醒开发者持续改进和评估安全性,遵循最佳实践。
|
7月前
|
Kubernetes 安全 API
k8s-身份认证与权限
k8s-身份认证与权限
|
7月前
|
安全 算法 数据安全/隐私保护
什么是身份验证器应用?
【5月更文挑战第14天】什么是身份验证器应用?
359 0
|
7月前
|
安全 数据安全/隐私保护
如何设置身份验证器应用以提高安全性?
【5月更文挑战第14天】如何设置身份验证器应用以提高安全性?
103 0
|
存储 安全 测试技术
单点登录SSO的身份账户不一致漏洞
由于良好的可用性和安全性,单点登录 (SSO) 已被广泛用于在线身份验证。但是,它也引入了单点故障,因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威胁,这是一种新的 SSO 漏洞,可导致在线帐户遭到入侵。该漏洞的存在是因为当前的 SSO 系统高度依赖用户的电子邮件地址来绑定具有真实身份的帐户,而忽略了电子邮件地址可能被其他用户重复使用的事实在 SSO 身份验证下,这种不一致允许控制重复使用的电子邮件地址的攻击者在不知道任何凭据(如密码)的情况下接管关联的在线帐户。
284 1
|
机器学习/深度学习 存储 安全
【应用安全】IAM之身份验证
【应用安全】IAM之身份验证
|
JSON 安全 前端开发
如何认证当前的操作用户?
如何认证当前的操作用户?