趟水身份认证管理 IAM

身份与认证管理的大课题需要面对什么概念和难题?现阶段有什么技术轮子?LDAP、OIDC、RBAC 又是个啥?

这堆幻灯片是给 NetPlanet 准备的,经过了我 N 次砍内容以及可预见的推迟,感觉还是先发出来共享(peer review)好一些。

今天读了篇网课教学的文章,感觉可能还得加一些互动性的内容(于是相应地一些内容就会被砍掉),但总体来说干货就这些了。可能并不是那么系统性的严谨,但愿会对有人有帮助吧。

P.S. 看起来我博客万年没更新的 hacklog 插件出了点兼容问题导致 WordPress 在前台没法正常显示缩略图了,所以下面大概需要 2MB 流量,并且我还得找时间修 = =

为了凑(微信公众平台的)原创字数,我来贴几段本来在幻灯片里但被我砍掉的内容:

认证的学问

  • 密码:密码策略
  • 密钥:密码学
    • 公私钥 (X.509):证书体系 PKI
    • 一次性密码 (HOTP - RFC4226、TOTP - RFC6238):动态口令
  • 风控:多因素认证、“你的账户被锁定”
    • 把锅甩给别人(比如给微信 、Google)
  • 认证服务与应用的集成:Kerberos、OpenID、CAS…

为什么需要目录服务 LDAP

认证服务的用户数据与应用服务的用户数据独立存储

  • “乐学需要学生登录一下,才会出现在老师的课程里”
    • 同步用户数据到应用
      • 自己做数据库级别或者应用级别的同步
      • 目录服务是应用层面的同步协议
  • 某些应用无法单点登录,应用认证需要知道用户密码
    • 存一份密码(哈希)在应用
    • 每次认证都查询一次密码(目录/认证)

“趟水身份认证管理 IAM”的4个回复

    1. 微信公众号的版本为了凑字数多了一些内容,被发现了,我也补充在这边吧。

进行回复 取消回复

电子邮件地址不会被公开。 必填项已用*标注