趟水身份认证管理 IAM

身份与认证管理的大课题需要面对什么概念和难题？现阶段有什么技术轮子？LDAP、OIDC、RBAC 又是个啥？

这堆幻灯片是给 NetPlanet 准备的，经过了我 N 次砍内容以及可预见的推迟，感觉还是先发出来共享（peer review）好一些。

今天读了篇网课教学的文章，感觉可能还得加一些互动性的内容（于是相应地一些内容就会被砍掉），但总体来说干货就这些了。可能并不是那么系统性的严谨，但愿会对有人有帮助吧。

P.S. 看起来我博客万年没更新的 hacklog 插件出了点兼容问题导致 WordPress 在前台没法正常显示缩略图了，所以下面大概需要 2MB 流量，并且我还得找时间修 = =

为了凑（微信公众平台的）原创字数，我来贴几段本来在幻灯片里但被我砍掉的内容：

认证的学问

• 密码：密码策略
• 密钥：密码学
  • 公私钥 (X.509)：证书体系 PKI
  • 一次性密码 (HOTP - RFC4226、TOTP - RFC6238)：动态口令
• 风控：多因素认证、“你的账户被锁定”
  • 把锅甩给别人（比如给微信 、Google）
• 认证服务与应用的集成：Kerberos、OpenID、CAS…

为什么需要目录服务 LDAP

认证服务的用户数据与应用服务的用户数据独立存储

• “乐学需要学生登录一下，才会出现在老师的课程里”
  • 同步用户数据到应用
    • 自己做数据库级别或者应用级别的同步
    • 目录服务是应用层面的同步协议
• 某些应用无法单点登录，应用认证需要知道用户密码
  • 存一份密码（哈希）在应用
  • 每次认证都查询一次密码（目录/认证）