认证与会话
目录
-
认证与授权
-
我是谁(Who am I?)
-
单点登录
-
我能干啥(What Can I Do?)
-
垂直权限管理
-
水平权限管理
认证与授权
认证与授权是应用中最重要的两个功能点。
认证(Authentication)的目的是为了认出用户是谁,
而授权(Authorization)的目的是为了决定用户能够做什么。
认证实际上就是一个验证凭证的过程,根据凭证的多少,认证可分为:
- 单因素认证(只有一个认证凭证)
- 双因素认证(有两个认证凭证)
- 多因素认证(大于两个认证凭证)
我是谁(Who am I)
我是谁就是认证的过程。密码是最常见的一个认证手段,
输入了正确的密码,理论上就可以证明你的身份。
但是,如果你的密码太简单被别人爆破出来了,或者你的密码泄露了,
那么别人就可以利用你的密码来以你的身份进行认证。
所以,密码的设置和保存是非常重要的。网站在存储用户密码的过程时,
也应该在后台将用户密码加密进行存储。最常见的就是以MD5加密,
并且加入salt盐值的方式进行存储。
既然单因素认证存在安全风险,
那么很多安全性要求很高的应用自然就采取了多因素认证。
比如支付宝,如果采用密码进行认证外,
还有手机动态口令、数字证书、宝令、支付盾和第三方证书等认证方式。
密码等认证方式一般仅仅用于登录的认证过程中,
当登录完成后,用户访问每个链接时不可能都输入密码。
所以,Cookie和Session出现了:Web基础技术 | Cookie、Session和Token认证
在Web中,最常见的是基于Session的认证,也有少部分基于Token的认证,还有一小部分是最新的是基于JWT认证:Web基础技术|JWT(Json Web Token)认证
单点登录
单点登录(Single Sign On),它只希望用户只需要登录一次,
就可以访问所有的系统。SSO的出现无疑让用户的使用体验更加的便捷,
但是从安全角度来看,SSO把风险都集中在一个点上。
所以说,SSO的出现有利也有弊。
目前,最流行的单点登录系统是 OpenID。
我能干啥(What Can I Do)
我能干啥也就是指权限的大小。
认证解决了 Who am I 的问题,而授权则解决了 What Can I Do 的问题。
权限控制,或者说访问控制,抽象得说,
都是某个主体对某个客体需要实施某种操作,
而系统对这种操作的限制就是权限控制。
在Web应用中,根据访问客体的不同,常见的访问控制可以分为:
- 基于URL的访问控制
- 基于方法的访问控制
- 基于数据的访问控制
垂直权限管理
访问控制实际上是建立用户与权限之间的对应关系,
现在应用广泛的一种方法,就是基于角色的访问控制,
简称 **RBAC**(Role-Based Access Control)
RBAC事先会在系统中定义不同的角色,
不同的角色拥有不同的权限,一个角色实际上就是一个权限的集合。
而系统的所有用户都会被分配到不同的角色中,
一个用户可能拥有多个角色,角色之间有高低之分。
在系统验证权限时,只需要验证用户所属的角色,
然后就可以根据该角色所拥有的权限进行授权了。
在配置权限时,应当使用最小权限原则,并使用默认拒绝的策略。
只对有需要的主体单独配置允许的策略。
垂直权限中容易发生的漏洞是垂直越权,
即低权限用户通过修改参数获得高权限用户的权限。
水平权限管理
水平权限管理又可以称之为基于数据的访问控制。
相对于垂直权限管理来说,水平权限管理问题出在同一个角色上。
系统只验证了能访问数据的角色,既没有对角色内的用户做细分,
也没有对数据的子集做细分。因此缺乏一个用户到数据之间的对应关系。
参考文章:白帽子讲Web安全
相关文章:OAuth2.0 认证
来源:谢公子的博客
责编:浮夸
本文始发于微信公众号(谢公子学安全):Web基础技术|认证与会话管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论