退出日志设计 退出日志与登录日志是相互对应的,如果是主动退出,则本身不具有安全性问题,退出系统本质上是对账号的一种保护行为,因此不需要考虑安全设计问题,也不需要给用户发送消息提醒。 用户的退出行为,很多时候并不需要完整的记录,用户可能直接关闭了浏览器,或者由于Session到期导致被动退出,这种情况
发布于 2022-06-15
RBAC用户权限设计 用户权限是指用户完成身份认证,成功登录系统后能做什么,能使用哪些功能。这也是几乎所有企业系统都必须具备的功能。开放式的互联网系统中所有普通用户的权限都是相同的,只有当用户等级不同时,才会在基础功能之上提供区别于普通用户的增值功能。 企业系统主要采用RBAC权限模型进行权限设计。
发布于 2022-05-30
5种用户注册设计 注册是每个封闭式系统都需要的功能,属于一种数据采集手段,采集的数据作为用户登录及数据关联的基础。为了保证注册的真实性,往往需要用户身份的验证和账户的激活流程。在这些注册流程中,最重要的就是保证用户信息的安全和激活验证码的安全。 注册可以分为开放式注册、封闭式注册、半封闭式注册、手机
发布于 2022-05-25
密码修改设计 密码修改与密码找回是有本质区别的,密码修改是用户已经登录了系统,然后对密码进行修改。而密码找回是用户还没有登录系统,由于忘记了密码而申请找回。 对于一些企业内网PC端管理系统,一般采用输入原密码和新密码的方式来修改密码;对于互联网App端产品,一般不通过这种方式处理,而是结合手机号、邮
发布于 2022-05-20
5种密码安全性设计 密码就是打开大门的钥匙,要是不保管好,一旦被窃取、丢失、复制,别人就可以随意进出,就没有任何隐私和安全可讲。因此,在进行系统设计时,密码相关功能就是重中之重,千万不可以大意。 密码安全性设计主要有5种:密码复杂度设计、密码安全检查设计、密码失效设计、账户锁定设计、密码传输和存储设
发布于 2022-05-10
安全设计无小事 安全设计是任何系统必须要考虑的问题,也是架构设计中最重要的部分。一个系统一旦出现安全性问题,往往都是致命性的,企业需要承受巨额的经济损失,以及无法挽回的其他间接影响,甚至企业倒闭。 攻击案例:一次短信攻击让国内某知名企业瞬间损失了八十余万元,间接损失无法估计。 很多网站都有使用手机号
发布于 2022-05-05
用户扫码登录设计 扫码登录是在手机普及之后才推出的一种安全又便捷的登录方式,前提是扫码应用(手机App)与需要扫码登录的系统必须使用同一 套用户体系。所以,使用微信扫码登录第三方网站本质上是借助了OAuth 2.0协议中的授权码模式。第三方网站其实借用了微信的用户信息,与自己的用户信息进行了绑定。那
发布于 2022-04-30
企业级单点登录设计 大多数企业、机构都有各种各样的系统,每个系统都有各自的用户体系和登录流程,因此用户需要记忆各个系统的登录账号和密码,以及登录地址。怎样将这些孤立的系统整合起来,让用户一次登录,处处登录,让系统之间的访问既安全又便捷就是单点登录的目的。 单点登录可以通过整合用户体系、账号绑定、授权
发布于 2022-04-20
集群/分布式架构基于Session的登录设计 Session是进行会话控制、用户追踪的重要手段。在单体架构中使用Session十分简便快捷,是登录权限控制的重要手段。但是,在集群架构、分布式架构中却会面临Session不一致的问题,可以通过Session 同步、Session共享的方式来解决这个问题
发布于 2022-04-15
