认证与会话管理-轻识

认证与会话管理

认证和授权是两个事情，认证是为了认出用户是谁，授权是为了决定用户可以做什么。

密码是最简单编辑的认证方式，但也是最容易被突破的方式。适当增加密码的长度/密码字符的复杂度以及排除简单字符组合，可以有效加强密码强度。

密码保存一般采用不可逆的加密算法，或者是单向散列函数算法加密后放到数据库中。但是这样还是有可能被黑客使用"彩虹表"的方法破译。

彩虹表的策略是收集尽可能多的密码原文和加密值的对应，根据这样的键值对去匹配就好了，应对这样的破译最好的方法就是加一个salt。

slat 就是在加密密码的时候加上一个随机的字符串，只要这个随机的 salt 不被窃取,破译就是非常困难的。即便被窃取,彩虹表也需要根据 salt 来调整。

除了支付密码外，手机动态口令/数字证书/第三方证书甚至刷脸/指纹等都可以作为用户认证的手段

密码和证书等认证只能用在登录的时候，登录后就需要使用SessionID来认证，常见的做法是把sessionId放到cookie中。因为cookie会随着http请求发送,并且受到同源策略的保护

sessionID是用户登录后的唯一凭证，一旦被黑客使用XSS等方式窃取后，就可以伪装成用户来完成一系列操作

简单来说就是 X 先获取一个未认证的 seesionID,然后把这个 id 给 Y，Y 去完成认证后，X 就是使用这个 sessionID 来伪装成 Y 操作了

最关键的核心是服务器在 Y 完成认证后，并没有去更新 Y 的 sessionID，所以只要我们在用户登录后，重写 SessionId，就可以有效的避免这个问题.

单点登录希望用户只需要登录一次，就可以访问所有的系统

它的优点在于风险集中，只需要保护好一个点就行,缺点在于风险太高，一旦被攻破，后果很严重

比较流行的是 OpenId

权限控制，抽象的说，就是某个主体需要实施某种操作，而系统对这种操作的限制就是权限控制

访问控制实际上建立用户和权限之间的对应关系，下面我们介绍一种基于角色的访问控制 ( Role-Base Access Control ) RBAC

简单来说就是一个系统会定义不同的角色，不同的角色有不同的权限，系统中的用户会被分配多个不同的角色从而获得不同的权限.系统在验证权限的时候，只需要验证角色就可以了。

常见的如 Spring Security 提供基于 url 和基于 method 的控制

不同的角色权限有高低之分，高权限访问低权限是可以的，低的访问搞的是被禁止的。如果低的获取了高的权限,则发生了"越权访问"

配置权限,应当遵循最小权限原则，并且使用默认拒绝的策略

相对于垂直权限管理来说，水平权限问题出在同一个角色上，系统只验证了能访问数据的角色，而没有对角色的用户做细分，也没有对数据子集做细分，因此缺乏一个用户到数据的映射关系。由于水平权限管理是系统一个数据级的访问控制造成的，所以水平权限管理又称为基于数据的访问控制。

OAuth 解决授权问题，OpenId 解决认证问题

OAuth 允许用户在不将第三方网站的用户密码暴露的情况，授权其他网站使用第三方的数据

密码系统的安全性应该依赖于秘钥的复杂性，而不是算法的保密性。

密码管理最常见的错误,就是把秘钥硬编码在代码里，同样的，将加密秘钥/签名的salt等 "key" 硬编码在代码中，是很不好的习惯。

硬编码的秘钥可能通过以下方式泄露:

常见的管理办法是将秘钥保存在配置文件或者数据库中，能接触到配置文件和数据库的人要越少越好,权限控制要格外注意。

发布到生产环境的时候，需要生产新的密码或密码

source:https://www.yuque.com/heyuqing/hgukev/ihmsxo

喜欢，在看