【后端开发】身份和访问管理IAM(OTP,OAuth,JWT,SSO,MFA)
文章目录
- 1、身份和访问管理(IAM)
- 2、验证:多因素身份验证(MFA)
- 3、验证:一次性密码(OTP,TOTP,HOTP)
- 4、验证:JSON Web Tokens(JWT)
- 5、授权:行业标准授权框架(OAuth)
- 6、应用:单点登录(SSO)
- 7、更多验证、授权、应用
- 7.1 用于授权的技术
- 7.2 用于认证的技术
- 7.3 应用场景
- 参考资料
声明:本文所有内容均来自互联网 & AIGC,无加密资料,引用已注明出处(见参考资料),侵删
总结:IAM是身份和权限管理,验证身份时通常采用MFA,MFA的具体项目有OTP等等。
1、身份和访问管理(IAM)
身份和访问管理(Identity and Access Management,简称IAM)是后端开发中一个关键的组成部分,它涉及到对用户身份的验证、授权以及访问控制。以下是IAM的一些核心概念和功能:
-
用户身份验证(Authentication):
- 这是确定用户是谁的过程。通常,这涉及到用户名和密码的输入,但也可能包括多因素认证(MFA),如手机短信验证码、生物识别等。
-
用户授权(Authorization):
- 一旦用户的身份得到验证,授权就是决定该用户可以访问哪些资源和执行哪些操作的过程。这通常基于角色或权限模型来实现。
-
角色和权限(Roles and Permissions):
- 角色是一组权限的集合,可以分配给用户。权限则定义了用户可以对特定资源执行的操作。
-
访问控制列表(Access Control Lists,ACLs):
- 这是一种定义资源访问权限的列表,它指定了哪些用户或角色可以访问特定资源。
-
用户会话管理(Session Management):
- 一旦用户登录,系统需要管理用户的会话,包括会话的创建、维护和销毁。
-
令牌管理(Token Management):
- 在某些认证机制中,如JWT(JSON Web Tokens),用户在登录后会获得一个令牌,该令牌用于在后续请求中验证用户的身份。
-
单点登录(Single Sign-On,SSO):
- 允许用户使用一组登录凭据访问多个应用程序或服务,从而减少用户需要记住多个密码的负担。
-
审计和合规性(Auditing and Compliance):
- 记录和监控用户活动,确保符合安全政策和法规要求。
-
身份联合(Identity Federation):
- 允许用户使用单一身份在多个系统中进行认证,通常是通过信任关系实现的。
-
安全策略和最佳实践:
- 包括密码策略、账户锁定策略、会话超时设置等,以提高系统的安全性。
在后端开发中,IAM通常需要与数据库、API、服务端逻辑以及可能的第三方服务(如OAuth提供者)紧密集成。正确实现IAM对于保护数据、维护用户隐私和遵守法律法规至关重要。
2、验证:多因素身份验证(MFA)
多因素身份验证(Multi-Factor Authentication,简称MFA)是一种安全措施,它要求用户提供两种或两种以上的身份验证方式来证明其身份。这种方法比传统的单因素认证(如仅使用密码)更安全,因为它增加了额外的安全层。以下是MFA的一些关键概念和实现方式:
-
知识因素(Knowledge Factor):
- 这是用户知道的信息,最常见的是密码。用户需要输入正确的密码才能通过这一验证。
-
拥有因素(Possession Factor):
- 这是用户拥有的物品,例如安全令牌、手机或智能卡。用户必须持有这些物品才能通过验证。
-
生物特征因素(Inherence Factor):
- 这是用户的生物特征,如指纹、面部识别、虹膜扫描或声音识别。这些特征是独一无二的,难以复制。
-
行为因素(Behavioral Factor):
- 这是用户的行为模式,如打字节奏、鼠标使用习惯等。这些行为模式可以通过分析用户的日常操作来识别。
-
时间因素(Time Factor):
- 这是验证过程中考虑的时间因素,例如某些令牌的有效时间非常短,用户必须在特定时间内使用。
-
地点因素(Location Factor):
- 这是验证过程中考虑的地理位置因素,某些服务可能只允许在特定地理位置进行访问。
实现方式
-
短信验证码:
- 用户在登录时输入手机号,系统会发送一个一次性密码(OTP)到用户的手机上,用户需要输入这个验证码来完成验证。
-
电子邮件验证码:
- 类似于短信验证码,但验证码是通过电子邮件发送的。
-
手机应用生成的令牌:
- 用户安装特定的手机应用(如Google Authenticator),该应用会生成一个不断变化的验证码,用户需要输入这个验证码来完成验证。
-
硬件令牌:
- 这是一个物理设备,如智能卡或USB令牌,用户需要将其插入计算机或通过NFC与手机交互来进行验证。
-
生物识别:
- 使用指纹扫描器、面部识别摄像头或其他生物识别技术来验证用户的身份。
-
推送通知:
- 用户的手机或其他设备会收到一个推送通知,用户需要在设备上确认这个通知来完成验证。
-
语音验证:
- 用户通过电话或应用程序进行语音验证,系统会分析用户的声音特征来确认身份。
-
安全问题:
- 用户需要回答一些预设的安全问题,这些问题的答案只有用户自己知道。
优势
- 增强安全性:通过增加额外的验证步骤,MFA大大降低了未经授权访问的风险。
- 减少密码依赖:减少对复杂密码的依赖,降低因密码泄露导致的安全风险。
- 灵活性:可以根据不同的安全需求和用户偏好选择不同的验证方式。
挑战
- 用户体验:可能会因为额外的验证步骤而影响用户体验。
- 设备依赖:某些MFA方法需要用户拥有特定的设备或应用,这可能会限制某些用户的访问。
- 成本:实施MFA可能需要额外的硬件或软件投资。
总的来说,MFA是一种有效的安全措施,能够在不显著影响用户体验的情况下显著提高系统的安全性。
3、验证:一次性密码(OTP,TOTP,HOTP)
科技公司应对密码盗窃和其他类型网络攻击的方法之一是使用一次性密码 (OTP)。OTP 是一种多因素身份验证 (MFA),旨在使黑客更难访问受保护的信息。
除了简单的密码之外,MFA 还需要其他凭证,最终用户才能访问应用程序或系统。例如,使用 SMS 的 MFA 将向用户发送一条带有数字字符串的短信,用户必须输入该短信才能获得访问权限。该代码是一种 OTP。
B2B 和 B2C 公司都有动力保护其用户和公司数据,同时保持良好的用户体验 (UX),这意味着无论他们选择哪种安全解决方案,都需要简化,而不会过度干扰用户的工作流程。
OTP 身份验证是解决安全问题和用户体验的优雅解决方案。OTP 有两种类型:HOTP 和 TOTP。我们将在下面介绍它们之间的区别。但首先,让我们更深入地了解一下 OTP。
OTP(One-Time Password,一次性密码)、TOTP(Time-Based One-Time Password,基于时间的一次性密码)和HOTP(HMAC-Based One-Time Password,基于哈希的消息认证码)是多因素身份验证(MFA)中常用的几种密码生成技术。它们之间的关系和区别如下:
OTP(一次性密码)
- 定义:OTP是一种密码,其有效性通常只维持一次使用。一旦使用后,该密码就失效了。
- 应用场景:通常用于银行交易、在线支付等需要高安全性的场合。
- 生成方式:可以通过多种方式生成,如基于时间、事件触发或随机生成。
TOTP(基于时间的一次性密码)
- 定义:TOTP是一种特定类型的OTP,其生成依赖于时间。每个密码的有效性是基于一个时间窗口的,通常为30秒。
- 生成方式:使用一个共享的秘密密钥和当前时间戳,通过HMAC(Hash-based Message Authentication Code)算法生成。时间戳被截断为一定位数,通常为6位,表示30秒。
- 应用场景:广泛用于手机应用的二次验证,如Google Authenticator或Authy。
- 优势:不需要网络连接,用户设备上的应用可以独立生成密码。
HOTP(基于哈希的消息认证码)
- 定义:HOTP也是一种基于时间的密码,但其生成依赖于一个递增的计数器,而不是时间。
- 生成方式:使用一个共享的秘密密钥和一个递增的计数器,通过HMAC算法生成。每个计数器值对应一个唯一的密码。
- 应用场景:用于需要计数器的应用,如某些硬件令牌或软件令牌。
- 优势:可以生成大量的密码,直到计数器达到预设的最大值。
关系
-
共同点:
- 都是基于HMAC算法生成的,使用一个共享的秘密密钥。
- 都是一次性使用的密码,增加了额外的安全层。
- 都是MFA的一部分,用于增强用户认证的安全性。
-
区别:
- 时间依赖性:TOTP依赖于时间,而HOTP依赖于计数器。
- 生成机制:TOTP的密码生成与当前时间相关,而HOTP的密码生成与递增的计数器相关。
- 应用场景:TOTP更适用于手机应用和不需要计数器的场景,而HOTP适用于需要计数器的场景,如某些硬件令牌。
总结
- TOTP:基于时间的一次性密码,适用于大多数移动设备和应用程序。
- HOTP:基于计数器的一次性密码,适用于需要计数器的应用场景。
- OTP:更广泛的一次性密码概念,可以基于时间、事件或其他机制生成。
这些技术通过提供额外的安全验证步骤,帮助保护用户的账户和数据安全,减少未授权访问的风险。
4、验证:JSON Web Tokens(JWT)
JWT(JSON Web Tokens)是一种基于JSON的轻量级安全认证和信息交换标准(RFC 7519)。它被设计用于在网络应用环境间传递声明(claim),以一种紧凑且自包含的方式,其中可以被验证和信任。以下是JWT的一些关键特点和组成部分:
关键特点
- 自包含:JWT包含了所有用户所需的信息,无需查询数据库或其他服务。
- 紧凑:信息被编码为URL安全的Base64,使得JWT可以作为URL的一部分,或在HTML和HTTP环境中使用。
- 标准:JWT遵循RFC 7519标准,确保了不同实现之间的互操作性。
组成部分
-
Header(头部):
- 描述了令牌的元数据,如使用哪种签名算法(如HS256或RS256)。
-
Payload(负载):
- 包含了所谓的Claims(声明),它们是关于实体(通常是用户)和其他数据的声明。常见的Claims包括:
iss
(Issuer):发行者。exp
(Expiration Time):过期时间。sub
(Subject):主题,通常指用户。aud
(Audience):受众,令牌的接收者。iat
(Issued At):签发时间。jti
(JWT ID):JWT的唯一标识符。
- 包含了所谓的Claims(声明),它们是关于实体(通常是用户)和其他数据的声明。常见的Claims包括:
-
Signature(签名):
- 使用头部指定的算法和密钥对Header和Payload进行签名,确保令牌在传输过程中未被篡改。
工作流程
- 用户登录:用户向认证服务器提供登录凭据(如用户名和密码)。
- 生成JWT:一旦用户身份验证成功,服务器生成一个JWT,并使用私有密钥对其进行签名。
- 发送JWT:服务器将JWT发送给客户端。
- 存储JWT:客户端(通常是用户的浏览器)存储JWT,可以将其保存在本地存储(LocalStorage)或会话存储(SessionStorage)中。
- 请求资源:客户端在随后的API请求中将JWT作为Bearer Token发送到HTTP头部。
- 验证JWT:资源服务器接收到JWT后,使用相同的签名算法和公钥(或共享密钥)验证签名的有效性。
- 授权访问:如果JWT有效,资源服务器根据JWT中的Claims提供相应的资源或服务。
安全性
- JWT的安全性依赖于密钥的保密性。使用HS256算法时,只有持有正确密钥的一方才能生成和验证JWT。
- 应谨慎处理JWT,因为它们可以被解码以查看其内容,但不应被篡改。
- JWT不应包含敏感信息,因为它们可能被拦截或重放。
应用场景
- 用户认证:在Web应用和API中,JWT常用于用户认证。
- 信息交换:在微服务架构中,JWT可以用于服务之间的安全通信。
- 单点登录:作为SSO解决方案的一部分,JWT可以用于在多个服务之间传递用户身份信息。
JWT是一种灵活且广泛使用的标准,适用于需要安全认证和信息交换的场景。然而,开发者在使用JWT时需要考虑到其安全性和最佳实践。
5、授权:行业标准授权框架(OAuth)
OAuth 2.0 是一个行业标准的授权框架,用于在不暴露用户凭据(如用户名和密码)的情况下,允许第三方应用访问用户在服务提供者(如Google、Facebook等)上存储的受保护资源。以下是OAuth 2.0的一些关键概念和组成部分:
关键概念
-
资源所有者(Resource Owner):
- 即用户,拥有受保护资源的所有权。
-
资源服务器(Resource Server):
- 存储受保护资源的服务器,只有经过授权的请求才能访问。
-
客户端(Client):
- 第三方应用,需要访问资源所有者的受保护资源。
-
授权服务器(Authorization Server):
- 负责处理认证和授权请求,发放访问令牌(Access Token)。
-
访问令牌(Access Token):
- 客户端使用授权码或密码等凭据获取的令牌,用于访问资源服务器上的资源。
-
刷新令牌(Refresh Token):
- 用于获取新的访问令牌,通常在访问令牌过期时使用。
工作流程
-
用户引导:
- 用户被引导到授权服务器的登录页面。
-
用户认证:
- 用户输入登录凭据进行身份验证。
-
授权决定:
- 如果身份验证成功,用户决定是否授权客户端访问其资源。
-
发放授权码:
- 如果用户同意授权,授权服务器发放一个授权码给客户端。
-
使用授权码交换访问令牌:
- 客户端使用授权码向授权服务器请求访问令牌。
-
发放访问令牌:
- 授权服务器验证授权码后,发放访问令牌和可选的刷新令牌。
-
访问资源:
- 客户端使用访问令牌向资源服务器请求资源。
-
刷新访问令牌:
- 当访问令牌过期时,客户端可以使用刷新令牌获取新的访问令牌。
授权类型
OAuth 2.0 定义了四种授权类型,用于不同的场景:
-
授权码授权(Authorization Code Grant):
- 最常见的授权类型,适用于能够安全存储客户端密钥的服务器端应用。
-
隐式授权(Implicit Grant):
- 适用于无密钥的客户端,如JavaScript Web应用,但存在安全风险。
-
密码授权(Resource Owner Password Credentials Grant):
- 用户直接提供用户名和密码给客户端,适用于高度信任的应用。
-
客户端证书授权(Client Credentials Grant):
- 客户端直接使用其证书向授权服务器请求访问令牌,适用于没有前端用户的服务间通信。
安全性
- OAuth 2.0 通过使用HTTPS、访问令牌和刷新令牌来提高安全性。
- 访问令牌不应通过不安全的渠道传输,且不应存储在不安全的地方。
- 客户端应验证授权服务器的响应,确保令牌的合法性。
应用场景
-
第三方登录:
- 用户可以使用Google、Facebook等第三方账户登录应用。
-
API访问:
- 第三方应用可以使用OAuth 2.0访问用户在其他服务上的数据。
-
服务间通信:
- 服务之间可以使用OAuth 2.0进行安全通信。
OAuth 2.0 是一个强大的授权框架,适用于各种需要授权的场景。然而,开发者在使用OAuth 2.0时需要考虑到其安全性和最佳实践,以确保用户数据的安全。
6、应用:单点登录(SSO)
SSO(单点登录,Single Sign-On)是一种允许用户使用一组登录凭据访问多个应用程序或服务的机制。它与上面提到的授权和认证技术有密切的关系,主要体现在以下几个方面:
-
减少重复登录:
- 用户只需登录一次,就可以访问多个应用程序,而无需为每个应用程序单独输入用户名和密码。
-
提高用户体验:
- SSO通过减少用户需要记住的密码数量,简化了登录过程,从而提高了用户体验。
-
安全性:
- SSO可以减少密码泄露的风险,因为用户只需记住一组登录凭据。同时,SSO系统通常会实施更严格的安全措施来保护这些凭据。
SSO与授权和认证技术的关系
-
OAuth 2.0:
- OAuth 2.0 可以作为SSO的一种实现方式。用户通过一个中央认证服务器(通常是OAuth提供者)进行身份验证,然后获得访问令牌,这些令牌可以用来访问其他服务。
-
OpenID Connect:
- OpenID Connect 是基于 OAuth 2.0 的身份层,它不仅提供授权功能,还提供身份验证。这使得它非常适合用于SSO,因为它可以同时处理用户身份验证和授权。
-
SAML:
- SAML 是一种广泛用于企业级应用的SSO技术。它允许用户在多个应用程序之间无缝地进行身份验证和授权,而无需重新登录。
-
LDAP:
- LDAP 可以作为SSO的后端身份验证服务。用户通过LDAP进行身份验证,然后其凭据被用来访问其他应用程序。
-
Kerberos:
- Kerberos 是一种网络认证协议,常用于企业内部的SSO解决方案。它通过票据交换机制来验证用户身份,并允许用户在多个服务之间无缝访问。
-
JWT:
- JWT 可以用于实现SSO,其中用户在首次登录时获得一个JWT令牌,这个令牌可以被用来在其他服务中验证用户身份,而无需重新登录。
-
FIDO:
- FIDO 是一种无密码认证标准,可以与SSO结合使用。用户通过生物识别或其他硬件令牌进行一次身份验证,然后可以访问多个服务而无需再次输入密码。
SSO的优势
- 统一的身份管理:通过集中管理用户身份和访问权限,SSO简化了身份管理。
- 增强的安全性:减少密码泄露的风险,并通过集中的安全策略提高整体安全性。
- 合规性:在某些行业,如金融和医疗保健,SSO可以帮助满足特定的合规性要求。
总之,SSO是一种将多种授权和认证技术整合在一起,以提供无缝、安全且用户友好的访问体验的解决方案。通过SSO,用户可以更轻松地访问多个应用程序和服务,同时企业可以更有效地管理用户身份和访问权限。
7、更多验证、授权、应用
在现代网络安全中,用于授权和认证的技术多种多样,每种技术都有其特定的应用场景和优势。以下是一些常见的授权和认证技术:
7.1 用于授权的技术
-
OAuth 2.0:
- OAuth 2.0 是一个行业标准的协议,用于授权。它允许用户授权第三方应用访问他们存储在另外服务上的信息,而无需将用户名和密码提供给第三方应用。
-
OpenID Connect:
- OpenID Connect 是一个基于 OAuth 2.0 的身份层,允许用户通过第三方身份提供者(IdP)进行身份验证,并获取用户身份信息。
-
SAML (Security Assertion Markup Language):
- SAML 是一种基于XML的标准,用于在不同系统之间交换用户身份验证和授权数据。它广泛用于企业级应用和联邦身份管理。
-
LDAP (Lightweight Directory Access Protocol):
- LDAP 是一种用于访问和维护分布式目录信息服务的协议。它常被用于企业内部的用户身份验证和授权。
-
RBAC (Role-Based Access Control):
- RBAC 是一种基于角色的访问控制机制,用户根据其在组织中的角色获得相应的访问权限。
-
ABAC (Attribute-Based Access Control):
- ABAC 是一种基于属性的访问控制机制,访问权限的授予基于用户属性、资源属性和环境条件。
7.2 用于认证的技术
-
OTP (One-Time Password):
- OTP 是一种密码,其有效性只维持一次使用,通常用于多因素身份验证。
-
JWT (JSON Web Tokens):
- JWT 是一种用于双方之间安全传输信息的简洁的、URL安全的方式。它可用于身份验证和信息交换。
-
SAML Assertions:
- SAML Assertions 是一种安全断言标记语言,用于在SAML框架中交换用户身份验证和授权信息。
-
Kerberos:
- Kerberos 是一种网络认证协议,用于在不安全的网络环境中提供强身份验证。
-
X.509 Certificates:
- X.509 是一种广泛使用的数字证书标准,用于在SSL/TLS协议中进行身份验证。
-
LDAP Authentication:
- LDAP 也常用于用户身份验证,通过查询LDAP目录中的用户信息来验证用户身份。
-
Biometric Authentication:
- 生物识别技术,如指纹、面部识别、虹膜扫描等,用于验证用户身份。
-
Password-less Authentication:
- 无密码认证,使用其他形式的身份验证,如手机推送通知、电子邮件链接等,代替传统的密码。
-
FIDO (Fast Identity Online):
- FIDO 是一种用户身份验证标准,旨在使用生物识别技术或硬件令牌来替代密码。
每种技术都有其特定的优势和适用场景,选择合适的技术需要根据具体的安全需求、用户便利性和系统兼容性来决定。
7.3 应用场景
认证(Authentication)和授权(Authorization)是网络安全中的基础概念,它们确保了只有合法和授权的用户才能访问敏感资源。除了单点登录(SSO)之外,认证和授权在许多其他应用和场景中发挥着重要作用:
-
多因素认证(MFA):
- 提供额外的安全层,通常结合密码和其他形式的认证(如短信验证码、生物识别等)。
-
访问控制列表(ACL):
- 定义了哪些用户或用户组可以访问特定的资源或执行特定的操作。
-
角色基于访问控制(RBAC):
- 用户根据其在组织中的角色获得访问权限,简化了权限管理。
-
属性基于访问控制(ABAC):
- 基于属性(如用户属性、资源属性、环境条件)动态地授予访问权限。
-
生物识别认证:
- 使用指纹、面部识别、虹膜扫描等生物特征进行用户身份验证。
-
证书认证:
- 使用数字证书(如X.509证书)进行用户或设备的身份验证。
-
Kerberos认证:
- 在企业网络中广泛使用,提供基于票据的身份验证服务。
-
LDAP认证:
- 用于在LDAP目录服务中进行用户身份验证。
-
OAuth 2.0:
- 用于第三方应用访问用户在服务提供者上的受保护资源。
-
OpenID Connect:
- 基于OAuth 2.0的身份层,提供身份验证和简单的用户信息交换。
-
SAML:
- 用于在不同系统之间交换用户认证和授权数据,常用于企业级联邦身份管理。
-
令牌化(Tokenization):
- 使用一次性或刷新令牌代替敏感数据(如信用卡号)进行交易。
-
密码策略:
- 强制执行密码复杂性、过期和更换规则,提高账户安全性。
-
账户锁定机制:
- 在多次登录失败后锁定账户,防止暴力破解攻击。
-
审计和监控:
- 记录和监控用户活动,确保符合安全政策和法规要求。
-
API网关:
- 在微服务架构中,API网关可以进行认证和授权,控制对后端服务的访问。
-
设备注册和认证:
- 允许设备(如智能手机、IoT设备)在网络中注册并进行认证。
-
VPN和企业级安全解决方案:
- 通过认证和授权控制对企业网络和资源的远程访问。
-
云服务访问控制:
- 在云平台(如AWS、Azure、Google Cloud)中,控制对云资源的访问。
-
智能卡和硬件令牌:
- 使用智能卡或硬件令牌进行物理设备的身份验证。
认证和授权的应用非常广泛,它们是构建安全系统和保护用户数据不可或缺的部分。随着技术的发展,新的认证和授权方法也在不断涌现,以应对不断变化的安全挑战。
参考资料
1, 2,3,4,5