共计 717 个字符,预计需要花费 2 分钟才能阅读完成。
背景
用户服务是对应用 gateway 的客户进行治理的服务,想应用 gateway 的用户通过门户网站进行注册,登陆之后申请 API 进行测试调用。
用户服务包含以下几个性能:
- 个人用户相干:集体用户注册,登录,登记
-
机构用户相干:
- 治理端录入用户 - 发送激活验证码 - 用户去激活画面凭借手机号和机构号激活,激活的同时生成密钥对和 appSecret。
- 登录
- 申请 API
- 查看 api 调用状况
- 查看 AppSecret,上传机构公钥,下载平台公钥
- 内网用户相干:治理端录入并激活,没有密钥对,只有 appSecret
机构用户状态转移图:
已录入 2(发送激活短信,批改用户信息,销户)- 待激活 3(可发送激活验证码,批改用户信息,销户)- 已激活 1(批改用户信息,销户,批改明码,登陆)- 已销户 0。不同的状态对应机构和管理员可进行不同的操作。
在信息录入的时候,须要进行的校验:明码强度;机构号格局;手机号格局;用户名格局;邮箱格局。
用户服务波及敏感性息,应防止用户明码被透露,因而对于安全性思考如下:
- 用户在注册、登录等须要传输明码的场合,明码均加密传输
- 明码在数据库中加密保留
- 设置明码时,查看明码强度,至多六位数字及大小写字母的组合
- 用户 1 分钟内登录失败 5 次及以上就锁定用户,24 小时内无奈再次登录,防止用户名透露后被暴力破解
- 用户在登录时,减少图片验证码。图片验证码应用后即生效
- 机构用户激活 / 用户找回明码时应用到手机验证码,手机验证码有效期为 5 分钟,每分钟最多发一次,输错 5 次即生效
- 如果用户名或明码谬误,弹出“用户名或明码”谬误,而不是“用户名不存在”,“明码谬误”等提示信息,防止枚举用户名或机构号
技术细节的实现:
- 明码加密传输
- 明码在数据库中加密保留
- 图片验证码
- 手机验证码的有效期和发送次数
正文完