背景
用户服务是对应用gateway的客户进行治理的服务,想应用gateway的用户通过门户网站进行注册,登陆之后申请API进行测试调用。

用户服务包含以下几个性能:

  • 个人用户相干:集体用户注册,登录,登记

  • 机构用户相干:

    • 治理端录入用户-发送激活验证码-用户去激活画面凭借手机号和机构号激活,激活的同时生成密钥对和appSecret。
    • 登录
    • 申请API
    • 查看api调用状况
    • 查看AppSecret,上传机构公钥,下载平台公钥
  • 内网用户相干:治理端录入并激活,没有密钥对,只有appSecret

机构用户状态转移图:

已录入2(发送激活短信,批改用户信息,销户)-待激活3(可发送激活验证码,批改用户信息,销户)-已激活1(批改用户信息,销户,批改明码,登陆)-已销户0。不同的状态对应机构和管理员可进行不同的操作。
在信息录入的时候,须要进行的校验:明码强度;机构号格局;手机号格局;用户名格局;邮箱格局。

用户服务波及敏感性息,应防止用户明码被透露,因而对于安全性思考如下:

  • 用户在注册、登录等须要传输明码的场合,明码均加密传输
  • 明码在数据库中加密保留
  • 设置明码时,查看明码强度,至多六位数字及大小写字母的组合
  • 用户1分钟内登录失败5次及以上就锁定用户,24小时内无奈再次登录,防止用户名透露后被暴力破解
  • 用户在登录时,减少图片验证码。图片验证码应用后即生效
  • 机构用户激活/用户找回明码时应用到手机验证码,手机验证码有效期为5分钟,每分钟最多发一次,输错5次即生效
  • 如果用户名或明码谬误,弹出“用户名或明码”谬误,而不是“用户名不存在”,“明码谬误”等提示信息,防止枚举用户名或机构号

技术细节的实现:

  • 明码加密传输
  • 明码在数据库中加密保留
  • 图片验证码
  • 手机验证码的有效期和发送次数