欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

用戶帳戶,授權和密碼管理的12個最佳實踐

2018-03-06 11:15:05 開源中國翻譯文章  點擊量: 評論 (0)
賬戶管理,授權和密碼管理往往是很棘手的。對很多開發者來說,賬戶管理功能是一個暗角,不會引起足夠的重視。對于產品經理和用戶來說,產品

賬戶管理,授權和密碼管理往往是很棘手的。對很多開發者來說,賬戶管理功能是一個暗角,不會引起足夠的重視。對于產品經理和用戶來說,產品的最終體驗往往超出預期。
幸運的是,谷歌云平臺(GCP)提供了一些工具,能夠使你在產品創造、安全處理和用戶賬號(本文中指任何在你系統中注冊的人——消費者或者內部用戶)認證方面做出更好的決策。不論你負責的是什么系統,部署在 Google Kubernetes Engine 上的WEB網站、 Apigee 上的API服務、使用 Firebase 的應用或者任何包含用戶認證的服務,這篇文章會提供最佳實踐,來保證你擁有一個安全的、可伸縮的、可用的賬戶認證系統。

用戶帳戶,授權和密碼管理的12個最佳實踐

1. 對密碼字段做哈希處理
對于賬戶管理,最重要的原則就是要安全地存儲用戶的敏感信息,包括用戶的密碼。用戶的數據是神圣的,必須要適當的處理。
任何情況下都不要存儲明文密碼。你的服務中要藝術的哈希處理密碼,并且不能解密密碼——例如,使用 PBKDF2, Argon2, Scrypt, or Bcryp創建。這個哈希值應該是對用戶唯一的登錄憑證加鹽處理后的結果。不要使用過時的哈希處理技術如MD5、SHA1,并且在任何情況下都不應該使用可解密的算法或者嘗試發明哈希算法。
你應該假設你設計的系統最終會被泄露。問問你自己“如果我的數據今天泄露了,在使用我的服務或者他們使用的別的服務時,我的用戶的安全和隱私會受到威脅嗎?我們可以做些什么來減輕這種潛在的數據泄露可能造成的危害?”
另一個需要考慮的事情:當用戶提供給你密碼之后,如果你能在任何時候產出一個用戶的明文密碼,那么你的實現就是有問題的。
2. 盡可能允許第三方身份認證
第三方身份認證提供者使你可以依賴一個第三方值得信賴的服務認證用戶的身份。谷歌、Facebook和推特通常是可用的提供者。
除了已經存在的內部認證系統,你可以使用一個平臺(如 Firebase 認證)接入一個第三方的認證服務。 Firebase 認證有很多好處,如管理更簡單、攻擊入口更小和跨平臺的SDK。通過這個列表我們會提出很多好處,具體查看 案例學習
Firebase認證。
3. 區分用戶身份和用戶賬戶的概念
你的用戶不是電郵地址。他們不是電話號碼。他們不是由OAUTH響應提供的唯一ID。 你的用戶是你服務中獨有的個性化數據和體驗的聚合。設計良好的用戶管理系統在用戶個人資料的不同部分之間具有低耦合性和高內聚性。
保持用戶帳戶和證書的概念分離將大大簡化實施第三方認證提供商的過程、允許用戶更改其用戶名并將多個身份鏈接到單個用戶帳戶上。實際上,為每個用戶提供一個內部全局標識符并通過該ID鏈接其配置文件和身份驗證標識可能會有所幫助,而不是將其全部集中到一條記錄之中。

大云網官方微信售電那點事兒

責任編輯:任我行

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 日本女人黄色片| 色天天网| 午夜不卡在线| 亚洲伦理中文字幕| 亚洲天堂在线视频播放| 午夜激情视频| 天天色图| 亚洲国产精品婷婷久久久久| 亚洲综合色站| 日本精品久久久| 四虎精品久久久久影院| 色综合久久综合| 午夜免费毛片| 视频一区 精品自拍| 欧美日韩一区二区不卡| 亚洲三级网站| 一级黄色在线播放| 青青国产在线视频| 四虎午夜| 午夜久久免费视频| 香蕉欧美成人精品a∨在线观看| 视频一区国产精品| 日韩一级特黄毛片在线看| 日韩免费视频一区| 香蕉综合网| 亚洲一区二区三区欧美| 一本久久综合亚洲鲁鲁五月天 | 亚洲欧美专区精品伊人久久 | 日本a级影院| 色综合久久夜色精品国产| 亚洲高清视频一区| 亚洲一区二区影院| 亚洲三级毛片| 日韩av线上| 亚洲一区二区中文| 亚洲国产综合久久精品| 午夜免费视频网站| 天天伊人| 欧美精品人爱c欧美精品| 天天综合色网| 欧美日韩在线高清|