Web认证与授权
字数 736 2025-11-14 14:55:14

Web认证与授权

  1. 基本概念区分
    认证是验证用户身份的过程(如账号密码登录),授权是决定用户是否有权限执行特定操作(如是否允许删除文件)。两者协同工作,先认证后授权。

  2. 认证基础方式

    • 静态凭证认证:用户名+密码,通过HTTPS传输避免窃听
    • 会话管理:登录成功后服务器生成Session ID,通过Cookie返回浏览器,后续请求携带此ID维持登录状态
    • 安全问题:密码可能被弱加密或泄露,Session ID可能被截获(需设置HttpOnly+Secure属性)

  3. 多因子认证增强
    在密码基础上增加第二验证因素:

    • 物理设备(如手机验证码)
    • 生物特征(如指纹)
      显著提升账户安全性,即使密码泄露仍可阻断入侵

  4. 单点登录技术
    用户只需登录一次即可访问多个关联系统:

    • SAML协议:使用XML格式在身份提供商和服务提供商间传递认证信息
    • OIDC协议:基于OAuth 2.0的现代身份层,使用JSON Web Token传递用户信息
    • 企业内网和云服务常用此技术减少重复登录

  5. API认证授权

    • API密钥:简单但易泄露
    • JWT令牌:包含签名、用户信息和有效期,服务端无需存储会话状态
    • OAuth 2.0流程:分授权码模式(Web应用)、隐式模式(SPA)、客户端模式(机器间通信)等

  6. 权限控制模型

    • RBAC基于角色的访问控制:将权限关联角色,用户通过角色获得权限(如管理员、普通用户)
    • ABAC基于属性的访问控制:根据用户属性、资源属性、环境条件动态决策(如“允许部门经理在办公时间访问财务报表”)

  7. 零信任架构实践
    摒弃“内网即可信”传统观念:

    • 每次访问都需验证身份和权限
    • 微隔离网络环境,最小权限原则
    • 持续监测用户行为和设备状态
      现代云原生安全体系的核心组成部分
Web认证与授权 基本概念区分 认证是验证用户身份的过程(如账号密码登录),授权是决定用户是否有权限执行特定操作(如是否允许删除文件)。两者协同工作,先认证后授权。 认证基础方式 静态凭证认证 :用户名+密码,通过HTTPS传输避免窃听 会话管理 :登录成功后服务器生成Session ID,通过Cookie返回浏览器,后续请求携带此ID维持登录状态 安全问题 :密码可能被弱加密或泄露,Session ID可能被截获(需设置HttpOnly+Secure属性) 多因子认证增强 在密码基础上增加第二验证因素: 物理设备(如手机验证码) 生物特征(如指纹) 显著提升账户安全性,即使密码泄露仍可阻断入侵 单点登录技术 用户只需登录一次即可访问多个关联系统: SAML协议 :使用XML格式在身份提供商和服务提供商间传递认证信息 OIDC协议 :基于OAuth 2.0的现代身份层,使用JSON Web Token传递用户信息 企业内网和云服务常用此技术减少重复登录 API认证授权 API密钥 :简单但易泄露 JWT令牌 :包含签名、用户信息和有效期,服务端无需存储会话状态 OAuth 2.0流程 :分授权码模式(Web应用)、隐式模式(SPA)、客户端模式(机器间通信)等 权限控制模型 RBAC基于角色的访问控制 :将权限关联角色,用户通过角色获得权限(如管理员、普通用户) ABAC基于属性的访问控制 :根据用户属性、资源属性、环境条件动态决策(如“允许部门经理在办公时间访问财务报表”) 零信任架构实践 摒弃“内网即可信”传统观念: 每次访问都需验证身份和权限 微隔离网络环境,最小权限原则 持续监测用户行为和设备状态 现代云原生安全体系的核心组成部分