@怪人
2年前 提问
1个回答

网站安全开发中身份验证需要遵循什么原则

Andrew
2年前

网站安全开发中身份验证需要遵循以下原则:

  • 除了那些特定设为“公开”的内容以外,对所有的网页和资源都要求身份验证。所有的身份验证过程必须在可信系统(比如,服务器)上执行。

  • 在任何可能的情况下,建立并使用标准的、已通过测试的身份验证服务。为所有身份验证控制使用一个集中实现的方法,其中包括利用库文件请求外部身份验证服务。

  • 将身份验证逻辑从被请求的资源中隔离开,并使用重定向或来自集中的身份验证控制。

  • 所有的身份验证控制都应当安全地处理未成功的身份验证。密码散列必须在可信系统(比如,服务器)上执行。

  • 所有的管理和账户管理功能至少应当具有和主要身份验证机制一样的安全性。

  • 如果应用程序管理着凭证的存储,那么应当保证只保存了通过使用强加密单向散列算法得到的密码,并且只有应用程序具有对保存密码和密钥的表/文件的写权限。

  • 只有当所有的数据输入以后,才进行身份验证数据的验证,特别是对连续身份验证机制。为涉及敏感信息或功能的外部系统连接使用身份验证。

  • 身份验证的失败提示信息应当避免过于明确。比如,可以使用“用户名和/或密码错误”,而不要使用“用户名错误”或者“密码错误”。错误提示信息在显示时应与在源代码中保持一致。