企業(yè)內(nèi)網(wǎng)，建立在企業(yè)內(nèi)部，為員工提供信息的共享和交流，為業(yè)務提供運營和管理的支撐，已是當今企業(yè)信息化建設(shè)必不可少的一個項目。隨著企業(yè)的規(guī)模越來越大，業(yè)務越來越廣，系統(tǒng)建設(shè)就顯得尤為重要。

一、系統(tǒng)的功能

1.用戶管理

在企業(yè)中，每個用戶都有一個唯一的賬號進行登錄，用戶的賬號和個人身份信息（包含姓名、郵件等公共屬性）會集中保存在內(nèi)網(wǎng)統(tǒng)一認證系統(tǒng)里。但對于同一個用戶在外部系統(tǒng)中的賬號，如微信、釘釘、Tower等第三方系統(tǒng)，統(tǒng)一認證系統(tǒng)也可以通過定時同步或?qū)崟r查詢等方式獲取到用戶的信息。小編這里有個群：103456743！大家可以加下，里面遍布了全國各地的學習者！為大家提供一個交流平臺，不管平時有碰到什么BUG或者學習過程中卡殼，找不到人替你解決？那么就進來吧，里面熱心的小伙伴還是非常多的，管理也是挺好的，有什么問題，他如果有時間都能給大家解決，我覺得是一個非常不錯的交流平臺，沒事也可以和大家扯扯公司的事學校發(fā)生的趣事，群文件已經(jīng)上傳了好多G的資料，PDF，視頻 安裝工具，安裝教程都是有的，為了大家的學習能更進一步！也為了大家能愉快的交流，討論學術(shù)問題！所以你還在等什么呢?好了馬上給大家?guī)碚模?/p>

二、系統(tǒng)架構(gòu)設(shè)計

1.接口設(shè)計

企業(yè)內(nèi)網(wǎng)的統(tǒng)一認證平臺建議基于B/S模式設(shè)計，后端使用Django框架以快速開發(fā)，用DB+LDAP方式完成用戶各類信息的存儲，保障存儲和查詢效率。 統(tǒng)一認證的核心問題是鑒權(quán)中心和各子系統(tǒng)之間的通信接口問題，用戶認證接口協(xié)議可以基于標準化HTTP/HTTPS方式實現(xiàn)，并對外提供不同語言的SDK（如Python CAS庫、Java Web過濾器等），使得第三方業(yè)務系統(tǒng)的接入不完全依賴于特定的開發(fā)環(huán)境。

（2）LDAP技術(shù)

輕型目錄存取協(xié)定（英文：Lightweight Directory Access Protocol，縮寫：LDAP）是一個開放的，中立的，工業(yè)標準的應用協(xié)議，通過IP協(xié)議提供訪問控制和維護分布式信息的目錄信息。

目錄服務在開發(fā)內(nèi)部網(wǎng)和與互聯(lián)網(wǎng)程序共享用戶、系統(tǒng)、網(wǎng)絡(luò)、服務和應用的過程中占據(jù)了重要地位。例如，目錄服務可能提供了組織有序的記錄集合，通常有層級結(jié)構(gòu)，例如公司電子郵件目錄。同理，也可以提供包含了地址和電話號碼的電話簿。

由上圖架構(gòu)所示，一方面常見的辦公系統(tǒng)（如代碼倉庫、Wiki等）自身即支持LDAP認證，通過配置Windows AD中的目錄/用戶搜索規(guī)則即完成對登錄用戶的認證；另一方面自行開發(fā)的業(yè)務系統(tǒng)通過中央認證服務器提供的接口間接的對Windows AD進行登錄用戶的認證，即一個用戶，一套密碼，在多個系統(tǒng)中都可使用。

2.身份認證

（1）通過外部應用認證

外部應用，如即時通訊軟件釘釘?shù)?，這些應用存有單獨的一套用戶憑證，通過應用提供的免登服務，將應用中的用戶與統(tǒng)一認證服務器中的用戶進行一一對應，當用戶在外部應用中登錄后，自動獲得在企業(yè)內(nèi)應用的已登錄狀態(tài)。

（2）通過TOTP動態(tài)驗證碼認證

OTP (One-Time Password) ，一次性密碼，也稱動態(tài)口令。它是使用密碼技術(shù)實現(xiàn)在客戶端和服務器之間共享秘密的一種認證技術(shù)，是一種強認證技術(shù)，是增強目前靜態(tài)口令認證的一種非常方便的技術(shù)手段，是一種重要的雙因素認證技術(shù)。

TOTP (Time-base One-Time Password) ，基于時間的一次性密碼，也稱時間同步的動態(tài)密碼。當在一些用戶不方便輸入密碼或者忘記密碼的場景中，我們可以使用TOTP進行認證。服務器和用戶各自保管共同的密鑰，通過比對基于時間分片與哈希計算出的動態(tài)數(shù)字驗證碼即可完成對用戶身份的認證。主流實現(xiàn)為Google Authenticator（Google身份驗證器），阿里的身份寶也兼容該算法。

圖-4：TOTP算法圖示

（3）雙因子認證

雙因子認證（Two-Factor Authentication）是指結(jié)合密碼以及實物（信用卡、SMS手機、令牌或指紋等生物標志）兩種元素對用戶進行認證的方法。

（4）Token-based

口令認證，比如 FTP 、郵件服務器的登錄認證，這是一種簡單易用的方式，實現(xiàn)一個口令在多種應用當中使用。

基于網(wǎng)關(guān)

基于 SAML

Ticket-based（基于票據(jù)）

4.BUC實踐

在我們的內(nèi)網(wǎng)應用中，最終選擇了CAS協(xié)議作為單點登錄的方案。CAS（Central Authentication Service）是 Yale 大學發(fā)起的一個企業(yè)級的、開源的項目，旨在為 Web 應用系統(tǒng)提供一種可靠的單點登錄解決方法。CAS開始于2001年，并在2004年12月正式成為JA-SIG的一個項目。

CAS的主要特點有：

開源

支持多種認證機制：Active Directory、JAAS、JDBC、LDAP、X.509等

安全策略：使用票據(jù)（Ticket）來實現(xiàn)支持的認證協(xié)議

支持授權(quán)：可以決定哪些服務可以請求和驗證服務票據(jù)

提供高可用性

支持多種客戶端及SDK： Java， .Net，PHP，Python，nodejs 等

服務端也有多種語言實現(xiàn)

（1）登錄驗證流程

圖-6：用戶、CAS客戶端、服務端三方交互過程

（2）安全擴展

當CAS服務端完成了對用戶和CAS客戶端的驗證之后，CAS服務端將驗證后的用戶信息傳輸給CAS客戶端（目標應用），同時也可根據(jù)配置返回該應用下的附屬用戶信息，如用戶擁有的該應用下的角色、權(quán)限和屬性。目標應用根據(jù)服務器返回的用戶信息進一步檢查用戶可訪問的資源，適當?shù)恼故緲I(yè)務視圖。

四、ACL使用技術(shù)和實現(xiàn)

在現(xiàn)代企業(yè)，尤其是互聯(lián)網(wǎng)企業(yè)中，產(chǎn)品業(yè)務繁多，對數(shù)據(jù)安全、訪問控制都提出了很高的要求，基于用戶組織結(jié)構(gòu)、匯報線等傳統(tǒng)的分組模式已經(jīng)無法適應和滿足多變的互聯(lián)網(wǎng)扁平化管理模式的需要，因此我們選擇了基于角色和權(quán)限的動態(tài)分組來設(shè)計和實現(xiàn)企業(yè)中不用應用可以共享的安全訪問管理系統(tǒng)。

1.權(quán)限

權(quán)限是針對資源和操作層面的最小安全訪問控制單元，例如：

按資源分，可以設(shè)置訪問設(shè)備A、訪問設(shè)備B等。

按操作分，可以設(shè)置讀取文件，寫入文件等。

例-1：權(quán)限分類示意圖

2.角色

角色是針對應用使用者來設(shè)置的，可分為管理員、技術(shù)人員，普通用戶等，也可按區(qū)域分為華北員工、華南員工等。

角色是一系列權(quán)限的集合，擁有某角色的用戶即應當自動擁有該角色下包含的權(quán)限。

圖-7：角色與權(quán)限關(guān)系示意圖

3.屬性

屬性是針對用戶層面下設(shè)置的獨立的安全設(shè)置，用來擴展和實現(xiàn)更細粒度的自定義安全設(shè)置數(shù)據(jù)，如將可訪問數(shù)據(jù)細化到數(shù)據(jù)庫中的表、數(shù)據(jù)表中的行、列上。

得益于JSON的兼容性，可以很靈活的存儲下這些自定義的結(jié)構(gòu)化數(shù)據(jù)。

例-2：用戶屬性示意圖

4.ACL實踐

1.數(shù)據(jù)庫建模

依模型圖可以看出，一個應用可劃分多個角色、權(quán)限、路徑和屬性，其中角色又可包含同應用下的權(quán)限和路徑。一個用戶對應一個ACL，通過將不同的控制單元授予用戶，即可完成用戶的訪問控制配置。

如有侵權(quán)請聯(lián)系小編刪除！

　　網(wǎng)站是怎么認證的？很多正規(guī)企業(yè)的官網(wǎng)是如何認證的？現(xiàn)在我來告訴大家正確的認證方式，免費別想了，花錢也不一定可以上，這是多家國家權(quán)威機構(gòu)交互審核嚴格的保障，防止虛假，釣魚，同行業(yè)等等網(wǎng)站惡意競爭對網(wǎng)民造成的侵害，提升公司網(wǎng)站的品牌辨識度以及信譽度，為企業(yè)官網(wǎng)樹立可信形象，為企業(yè)在互聯(lián)網(wǎng)上增加合作的幾率。

　　在我們生活中，如果一個人無法得到別人的信任，那么將失掉他在別人心中的信譽，如果一個企業(yè)無法得到消費者的信任，那么它將沒辦法持久生存下去。映射到互聯(lián)網(wǎng)時代，如果一個企業(yè)不能贏得消費者的信任，那么，網(wǎng)上交易將無法進行，企業(yè)也將失去品牌的信譽。因此，如何在繽紛錯雜的互聯(lián)網(wǎng)環(huán)境中，讓你的客戶快速信任你，將是互聯(lián)網(wǎng)企業(yè)在未來發(fā)展中面對的首要問題，而專業(yè)的網(wǎng)站認證即是解決這一難題最為便捷的通道。

　　專業(yè)認證機構(gòu)彰顯網(wǎng)站權(quán)威

　　網(wǎng)站認證是指第三方權(quán)威機構(gòu)對互聯(lián)網(wǎng)網(wǎng)站進行的網(wǎng)站真實身份及相關(guān)信息認證。資質(zhì)齊全、信用良好的企業(yè)會獲得相應的證書及相關(guān)認證圖標，企業(yè)可以將其放在網(wǎng)站的最下方，以此向用戶展示自身良好的信譽，網(wǎng)民也可以通過點擊圖標瀏覽詳細的網(wǎng)站資料，更方便的識別網(wǎng)站的真?zhèn)?，放心交易?/p>

　　目前來看，進行網(wǎng)站認證的權(quán)威機構(gòu)包括國家工信部、中國電子信用管理中心、中國電子商務協(xié)會等，此外，一些經(jīng)由認證機構(gòu)審核認可的第三方網(wǎng)站誠信驗證服務機構(gòu)也以其專業(yè)權(quán)威性，幫助萬千企業(yè)進行網(wǎng)站認證，提升網(wǎng)站的信譽度，比如中萬網(wǎng)絡(luò)等。

　　目前國內(nèi)復雜的網(wǎng)絡(luò)安全狀況，催生了許多不同的網(wǎng)站認證形式，他們有著不盡相同的認證機構(gòu)，也有著不同的認證流程和展示方式，接下來中萬網(wǎng)絡(luò)就為您詳細介紹一下。

　　1）北龍中網(wǎng)—可信網(wǎng)站認證

　　可信網(wǎng)站認證是由北龍中網(wǎng)推出的網(wǎng)站真實身份驗證服務。它通過對網(wǎng)站實體信息進行核對來驗證網(wǎng)站的身份。通過可信網(wǎng)站認證的企業(yè)也會得到“可信網(wǎng)站”認證的標識，并展示在網(wǎng)站，用戶可以通過點擊圖標到達驗證頁面，查看網(wǎng)站的認證及安全信息。

　　另外，可信網(wǎng)站認證也可以在還可以在搜狗搜索引擎、必應搜索引擎、神馬搜索引擎提示此網(wǎng)站通過中網(wǎng)可信網(wǎng)站認證。搜狗瀏覽器、遨游瀏覽器、uc瀏覽器、114瀏覽器地址欄v標安全展示中得到展示。

可信網(wǎng)站認證：http://rz.zw/kxwz.html

　　2）中國電子商務協(xié)會—誠信網(wǎng)站認證

　　誠信網(wǎng)站”認證評價為工信部、商務部、國資委、發(fā)改委權(quán)威認定，中國電子商務協(xié)會具體監(jiān)督和指導的第三方網(wǎng)站真實身份認證服務，是全國最具權(quán)威的政府性網(wǎng)站認證;認證通過后企業(yè)會得到相關(guān)的認證標識，并以一個紅色誠信網(wǎng)站圖標的形式展示在網(wǎng)站最下方的醒目位置，用戶亦可通過點擊圖標查看該網(wǎng)站的認證信息及安全信息。

　　而且會在中國電子商務協(xié)會“企業(yè)誠信數(shù)據(jù)庫系統(tǒng)中”，擁有一個全國最具權(quán)威和唯一性的 “企業(yè)誠信檔案編號”?？梢杂行ПＷo企業(yè)網(wǎng)站不被釣魚、復制和盜用，該系統(tǒng)包含了所有經(jīng)過國家ICP備案和經(jīng)過誠信網(wǎng)站認證的企業(yè)網(wǎng)站信息。 此外，它還具備"網(wǎng)站運行監(jiān)護、網(wǎng)頁篡改監(jiān)護、木馬病毒監(jiān)控"等網(wǎng)站安全服務，快速消除用戶所擔心的網(wǎng)絡(luò)安全等問題。

誠信網(wǎng)站認證：http://rz.zw/cxwz.html

　　3）安全聯(lián)盟—安全聯(lián)盟認證

　　安全聯(lián)盟認證是由中國電子商務協(xié)會指導，安全聯(lián)盟推出驗證網(wǎng)站真實身份的第三方認證服務。網(wǎng)站通過驗證后，安裝安全聯(lián)盟認證Logo代碼，安全聯(lián)盟logo一般放在網(wǎng)站下方醒目位置上，以一個圖標的形式出現(xiàn)，用戶點擊這個圖標可以連接到安全聯(lián)盟的服務器上，查看該網(wǎng)站的驗證信息，可接受全國用戶公開查詢。

　　網(wǎng)站還可以在qq聊天窗口發(fā)網(wǎng)址綠色v標展示（提示官方認證可放心訪問）。在搜狗瀏覽器、YY瀏覽器、QQ瀏覽器地址欄v標安全展示（提示通過安全聯(lián)盟認證，可放心訪問），騰訊手機管家和搜狗號碼通來電展示。有效提升網(wǎng)站信譽，在維護網(wǎng)站信譽的同時，也為廣大網(wǎng)友建立一個安全可靠的互聯(lián)網(wǎng)環(huán)境。

安全聯(lián)盟認證：http://rz.zw/aqlm.html

　　4）賽門鐵克（Symantec）-ssl服務器證書

　　賽門鐵克(Symantec)是目前全球最大的SSL證書品牌，其提供的產(chǎn)品也都是目前業(yè)界領(lǐng)先的加密技術(shù)，能夠為不同的網(wǎng)站和服務器提供安全有效地解決方案。SSL證書對于金融證券、銀行、以及網(wǎng)上商城等涉及交易支付、客戶隱私隱私信息和賬號密碼的網(wǎng)站來說是非常重要的。

　　ssl證書通過在客戶端瀏覽器與WEB服務器之間建立一條SSL安全通道，其作用就是對網(wǎng)絡(luò)傳輸中的數(shù)據(jù)進行記錄和加密，防止數(shù)據(jù)被截取或竊聽，從而保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?，保障了網(wǎng)站與客戶之間的信息傳遞安全。

ssl證書申請：http://rz.zw/ssl.html

　　5）商務部-商務部AAA企業(yè)信用等級評價

　　企業(yè)信用評級是企業(yè)信用評級是評級機構(gòu)按照一定的方法和程序在由商務部、國資委聯(lián)合推行的行業(yè)信用等級評價工作，是由專業(yè)的對企業(yè)進行全面了解、考察調(diào)研和分析的基礎(chǔ)上，做出有關(guān)其信用行為的可靠性、安全性程度的評價，并以專用符號或簡單的文字形式來表達的一種信用服務，企業(yè)信用評級能夠客觀公正地反映受評對象按合同約定如期履行債務或其他義務的能力和意愿。

　　企業(yè)信用評級的等級劃分為AAA、AA、A、B、C三等五級，其釋義和計分標準。必要時，可將B、C兩等級再擴展為BBB、BB、B和CCC、CC、C六級，即三等九級；還可對每個信用級別用“＋”、“－”進行微調(diào)，表示略高或略低于本等級。企業(yè)信用等級直接反應一個企業(yè)的整體誠信形象，目前國內(nèi)各省市在項目招投標投標、融資貸款、政府采購、企業(yè)宣傳等，均要求企業(yè)出具信用等級證書、資信等級證明、信用報告，企業(yè)信用評價報告起到加分的效果。

商務部AAA企業(yè)信用等級評價：http://rz.zw/bcp_xypj.html

　　6）百度-百度信譽v認證

　　百度信譽V認證也稱百度信譽檔案。是通過對互聯(lián)網(wǎng)商家網(wǎng)站及網(wǎng)站背后的經(jīng)營實體的資質(zhì)、真實性認證、可信行為、消費承諾意愿、口碑評價等數(shù)據(jù)的集合，以信譽評級和信譽成長值等方式，把網(wǎng)站的綜合信譽情況呈現(xiàn)給網(wǎng)民，作為網(wǎng)民決策的參考依據(jù)；從而為商家提供的一套綜合的誠信背書產(chǎn)品，同時通過展示誠信背書，以幫助網(wǎng)民快速識別權(quán)威優(yōu)質(zhì)網(wǎng)站，防止山寨網(wǎng)站、釣魚虛假網(wǎng)站對網(wǎng)民的侵害，提升網(wǎng)民信任程度，增加商家品牌影響力與公信力。

　　百度信譽V認證有V1、V2、V3這三個級別，級別越高，網(wǎng)站的信譽度也高， 通過“官網(wǎng)”字樣和信譽v標不僅能夠提升網(wǎng)站知名度，而且對網(wǎng)站權(quán)威性也是極大的認可，更重要的是保護品牌形象。尤其是一些電子商務、購物類網(wǎng)站，通過“官網(wǎng)”字樣認證后，網(wǎng)民朋友購買東西會更有安全感，也會更加信賴網(wǎng)站。

百度信譽v認證：http://rz.zw/baiduv.html

　　專業(yè)認證全面維護網(wǎng)民利益

　　雖然目前國內(nèi)的網(wǎng)站認證依然主要以身份認證為主，但不同的認證形式也都從不同角度維護了網(wǎng)站的誠信及安全問題，對確定網(wǎng)站安全狀態(tài)的良好，防止網(wǎng)站被他人惡意破壞有著重要作用。

　　如今，隨著釣魚網(wǎng)站、虛假網(wǎng)站的出現(xiàn)，不少用戶和企業(yè)都深陷網(wǎng)絡(luò)誠信的困擾中，專業(yè)的網(wǎng)站認證不僅能夠讓正規(guī)合法的互聯(lián)網(wǎng)企業(yè)更好的取信于民，更好的維護公眾的合法權(quán)益。而且對全面保障電子商務行業(yè)的安全發(fā)展也有著重要意義。

　　中萬網(wǎng)絡(luò)作為國內(nèi)專業(yè)的第三方網(wǎng)站認證機構(gòu)，中萬網(wǎng)絡(luò)不僅為廣大互聯(lián)網(wǎng)企業(yè)提供誠信網(wǎng)站認證、可信網(wǎng)站驗證、安全聯(lián)盟認證、賽門鐵克ssl證書幾種專業(yè)的網(wǎng)站認證服務，有效幫助互聯(lián)網(wǎng)企業(yè)提升網(wǎng)站信用度，而且也一直秉承自身的專業(yè)性，不斷開拓新產(chǎn)品，在幫助企業(yè)快速贏得客戶信任的同時，助推整個行業(yè)的健康發(fā)展。

企業(yè)內(nèi)網(wǎng)，建立在企業(yè)內(nèi)部，為員工提供信息的共享和交流，為業(yè)務提供運營和管理的支撐，已是當今企業(yè)信息化建設(shè)必不可少的一個項目。隨著企業(yè)的規(guī)模越來越大，業(yè)務越來越廣，系統(tǒng)建設(shè)就顯得尤為重要。

一、系統(tǒng)的功能

1.用戶管理

在企業(yè)中，每個用戶都有一個唯一的賬號進行登錄，用戶的賬號和個人身份信息（包含姓名、郵件等公共屬性）會集中保存在內(nèi)網(wǎng)統(tǒng)一認證系統(tǒng)里。但對于同一個用戶在外部系統(tǒng)中的賬號，如微信、釘釘、Tower等第三方系統(tǒng)，統(tǒng)一認證系統(tǒng)也可以通過定時同步或?qū)崟r查詢等方式獲取到用戶的信息。小編這里有個群：103456743！大家可以加下，里面遍布了全國各地的學習者！為大家提供一個交流平臺，不管平時有碰到什么BUG或者學習過程中卡殼，找不到人替你解決？那么就進來吧，里面熱心的小伙伴還是非常多的，管理也是挺好的，有什么問題，他如果有時間都能給大家解決，我覺得是一個非常不錯的交流平臺，沒事也可以和大家扯扯公司的事學校發(fā)生的趣事，群文件已經(jīng)上傳了好多G的資料，PDF，視頻 安裝工具，安裝教程都是有的，為了大家的學習能更進一步！也為了大家能愉快的交流，討論學術(shù)問題！所以你還在等什么呢?好了馬上給大家?guī)碚模?/p>

二、系統(tǒng)架構(gòu)設(shè)計

1.接口設(shè)計

企業(yè)內(nèi)網(wǎng)的統(tǒng)一認證平臺建議基于B/S模式設(shè)計，后端使用Django框架以快速開發(fā)，用DB+LDAP方式完成用戶各類信息的存儲，保障存儲和查詢效率。 統(tǒng)一認證的核心問題是鑒權(quán)中心和各子系統(tǒng)之間的通信接口問題，用戶認證接口協(xié)議可以基于標準化HTTP/HTTPS方式實現(xiàn)，并對外提供不同語言的SDK（如Python CAS庫、Java Web過濾器等），使得第三方業(yè)務系統(tǒng)的接入不完全依賴于特定的開發(fā)環(huán)境。

（2）LDAP技術(shù)

輕型目錄存取協(xié)定（英文：Lightweight Directory Access Protocol，縮寫：LDAP）是一個開放的，中立的，工業(yè)標準的應用協(xié)議，通過IP協(xié)議提供訪問控制和維護分布式信息的目錄信息。

目錄服務在開發(fā)內(nèi)部網(wǎng)和與互聯(lián)網(wǎng)程序共享用戶、系統(tǒng)、網(wǎng)絡(luò)、服務和應用的過程中占據(jù)了重要地位。例如，目錄服務可能提供了組織有序的記錄集合，通常有層級結(jié)構(gòu)，例如公司電子郵件目錄。同理，也可以提供包含了地址和電話號碼的電話簿。

由上圖架構(gòu)所示，一方面常見的辦公系統(tǒng)（如代碼倉庫、Wiki等）自身即支持LDAP認證，通過配置Windows AD中的目錄/用戶搜索規(guī)則即完成對登錄用戶的認證；另一方面自行開發(fā)的業(yè)務系統(tǒng)通過中央認證服務器提供的接口間接的對Windows AD進行登錄用戶的認證，即一個用戶，一套密碼，在多個系統(tǒng)中都可使用。

2.身份認證

（1）通過外部應用認證

外部應用，如即時通訊軟件釘釘?shù)?，這些應用存有單獨的一套用戶憑證，通過應用提供的免登服務，將應用中的用戶與統(tǒng)一認證服務器中的用戶進行一一對應，當用戶在外部應用中登錄后，自動獲得在企業(yè)內(nèi)應用的已登錄狀態(tài)。

（2）通過TOTP動態(tài)驗證碼認證

OTP (One-Time Password) ，一次性密碼，也稱動態(tài)口令。它是使用密碼技術(shù)實現(xiàn)在客戶端和服務器之間共享秘密的一種認證技術(shù)，是一種強認證技術(shù)，是增強目前靜態(tài)口令認證的一種非常方便的技術(shù)手段，是一種重要的雙因素認證技術(shù)。

TOTP (Time-base One-Time Password) ，基于時間的一次性密碼，也稱時間同步的動態(tài)密碼。當在一些用戶不方便輸入密碼或者忘記密碼的場景中，我們可以使用TOTP進行認證。服務器和用戶各自保管共同的密鑰，通過比對基于時間分片與哈希計算出的動態(tài)數(shù)字驗證碼即可完成對用戶身份的認證。主流實現(xiàn)為Google Authenticator（Google身份驗證器），阿里的身份寶也兼容該算法。

圖-4：TOTP算法圖示

（3）雙因子認證

雙因子認證（Two-Factor Authentication）是指結(jié)合密碼以及實物（信用卡、SMS手機、令牌或指紋等生物標志）兩種元素對用戶進行認證的方法。

（4）Token-based

口令認證，比如 FTP 、郵件服務器的登錄認證，這是一種簡單易用的方式，實現(xiàn)一個口令在多種應用當中使用。

基于網(wǎng)關(guān)

基于 SAML

Ticket-based（基于票據(jù)）

4.BUC實踐

在我們的內(nèi)網(wǎng)應用中，最終選擇了CAS協(xié)議作為單點登錄的方案。CAS（Central Authentication Service）是 Yale 大學發(fā)起的一個企業(yè)級的、開源的項目，旨在為 Web 應用系統(tǒng)提供一種可靠的單點登錄解決方法。CAS開始于2001年，并在2004年12月正式成為JA-SIG的一個項目。

CAS的主要特點有：

開源

支持多種認證機制：Active Directory、JAAS、JDBC、LDAP、X.509等

安全策略：使用票據(jù)（Ticket）來實現(xiàn)支持的認證協(xié)議

支持授權(quán)：可以決定哪些服務可以請求和驗證服務票據(jù)

提供高可用性

支持多種客戶端及SDK： Java， .Net，PHP，Python，nodejs 等

服務端也有多種語言實現(xiàn)

（1）登錄驗證流程

圖-6：用戶、CAS客戶端、服務端三方交互過程

（2）安全擴展

當CAS服務端完成了對用戶和CAS客戶端的驗證之后，CAS服務端將驗證后的用戶信息傳輸給CAS客戶端（目標應用），同時也可根據(jù)配置返回該應用下的附屬用戶信息，如用戶擁有的該應用下的角色、權(quán)限和屬性。目標應用根據(jù)服務器返回的用戶信息進一步檢查用戶可訪問的資源，適當?shù)恼故緲I(yè)務視圖。

四、ACL使用技術(shù)和實現(xiàn)

在現(xiàn)代企業(yè)，尤其是互聯(lián)網(wǎng)企業(yè)中，產(chǎn)品業(yè)務繁多，對數(shù)據(jù)安全、訪問控制都提出了很高的要求，基于用戶組織結(jié)構(gòu)、匯報線等傳統(tǒng)的分組模式已經(jīng)無法適應和滿足多變的互聯(lián)網(wǎng)扁平化管理模式的需要，因此我們選擇了基于角色和權(quán)限的動態(tài)分組來設(shè)計和實現(xiàn)企業(yè)中不用應用可以共享的安全訪問管理系統(tǒng)。

1.權(quán)限

權(quán)限是針對資源和操作層面的最小安全訪問控制單元，例如：

按資源分，可以設(shè)置訪問設(shè)備A、訪問設(shè)備B等。

按操作分，可以設(shè)置讀取文件，寫入文件等。

例-1：權(quán)限分類示意圖

2.角色

角色是針對應用使用者來設(shè)置的，可分為管理員、技術(shù)人員，普通用戶等，也可按區(qū)域分為華北員工、華南員工等。

角色是一系列權(quán)限的集合，擁有某角色的用戶即應當自動擁有該角色下包含的權(quán)限。

圖-7：角色與權(quán)限關(guān)系示意圖

3.屬性

屬性是針對用戶層面下設(shè)置的獨立的安全設(shè)置，用來擴展和實現(xiàn)更細粒度的自定義安全設(shè)置數(shù)據(jù)，如將可訪問數(shù)據(jù)細化到數(shù)據(jù)庫中的表、數(shù)據(jù)表中的行、列上。

得益于JSON的兼容性，可以很靈活的存儲下這些自定義的結(jié)構(gòu)化數(shù)據(jù)。

例-2：用戶屬性示意圖

4.ACL實踐

1.數(shù)據(jù)庫建模

依模型圖可以看出，一個應用可劃分多個角色、權(quán)限、路徑和屬性，其中角色又可包含同應用下的權(quán)限和路徑。一個用戶對應一個ACL，通過將不同的控制單元授予用戶，即可完成用戶的訪問控制配置。

如有侵權(quán)請聯(lián)系小編刪除！