退出日志设计 退出日志与登录日志是相互对应的,如果是主动退出,则本身不具有安全性问题,退出系统本质上是对账号的一种保护行为,因此不需要考虑安全设计问题,也不需要给用户发送消息提醒。 用户的退出行为,很多时候并不需要完整的记录,用户可能直接关闭了浏览器,或者由于Session到期导致被动退出,这种情况
发布于 2022-06-15
3种登录日志设计 登录日志是系统中的必要设计,不可以缺失,否则一旦发生纠纷则无法查证。例如,用户说自己并没有登录系统,而系统中却发生了一些购买、转账等行为。由于无法提供用户详细的登录行为信息,所以平台要承担管理责任。 用户的登录行为信息应该包含登录人、登录时间、登录地点、登录系统、登录方式等,从而完
发布于 2022-06-10
日志的分类和用途 日志可以细分为登录日志、退出日志、操作日志、接口日志、程序日志、埋点日志等,每种日志都有其独特的用途。 (1)登录日志:用于记录用户登录的轨迹,从而可以检测用户的账号安全性,统计用户的活跃度,以及分析用户对系统的依赖程度等。(2)退出日志:用于记录用户退出的轨迹,从而可以统计出用户
发布于 2022-06-05
RBAC用户权限设计 用户权限是指用户完成身份认证,成功登录系统后能做什么,能使用哪些功能。这也是几乎所有企业系统都必须具备的功能。开放式的互联网系统中所有普通用户的权限都是相同的,只有当用户等级不同时,才会在基础功能之上提供区别于普通用户的增值功能。 企业系统主要采用RBAC权限模型进行权限设计。
发布于 2022-05-30
5种用户注册设计 注册是每个封闭式系统都需要的功能,属于一种数据采集手段,采集的数据作为用户登录及数据关联的基础。为了保证注册的真实性,往往需要用户身份的验证和账户的激活流程。在这些注册流程中,最重要的就是保证用户信息的安全和激活验证码的安全。 注册可以分为开放式注册、封闭式注册、半封闭式注册、手机
发布于 2022-05-25
密码修改设计 密码修改与密码找回是有本质区别的,密码修改是用户已经登录了系统,然后对密码进行修改。而密码找回是用户还没有登录系统,由于忘记了密码而申请找回。 对于一些企业内网PC端管理系统,一般采用输入原密码和新密码的方式来修改密码;对于互联网App端产品,一般不通过这种方式处理,而是结合手机号、邮
发布于 2022-05-20
5种密码找回设计 当用户忘记密码时,通常都要使用找回密码、重置密码功能。找回密码并不是真正地将原来的密码告诉用户,因为这个密码在数据库中的存储也是加密的,根本无法获取到原始的明文密码是什么。 找回密码的本质是根据用户现有的信息做比对,来进行身份核实。核实通过之后允许用户进行密码修改,进而达到找回密码
发布于 2022-05-15
5种密码安全性设计 密码就是打开大门的钥匙,要是不保管好,一旦被窃取、丢失、复制,别人就可以随意进出,就没有任何隐私和安全可讲。因此,在进行系统设计时,密码相关功能就是重中之重,千万不可以大意。 密码安全性设计主要有5种:密码复杂度设计、密码安全检查设计、密码失效设计、账户锁定设计、密码传输和存储设
发布于 2022-05-10
安全设计无小事 安全设计是任何系统必须要考虑的问题,也是架构设计中最重要的部分。一个系统一旦出现安全性问题,往往都是致命性的,企业需要承受巨额的经济损失,以及无法挽回的其他间接影响,甚至企业倒闭。 攻击案例:一次短信攻击让国内某知名企业瞬间损失了八十余万元,间接损失无法估计。 很多网站都有使用手机号
发布于 2022-05-05
