本帖最后由 Lucas_Qiu 于 2020-12-25 10:40 编辑
1: 为什么要用oauth认证,老老实实注册账号不好吗? 原因一:注册新账号的程序和权限管理 每有一个新设备上线,同时这个设备需要接入内网访问内部资源;那就要不断重复新建账户的流程,同时新用户也需要接入内网资源,那也需要对新建账号的权限进行设置;在几千几万人的大型企业,运维人员需要重复几千几万次的程序,这工作压力可不小。
原因二:新账号的风险管理 类似于原因一的情况,每多一台设备,个人就要多记录一个账号密码,到后面可能密码太多,每登录一个设备都需要尝试很长时间才能想起密码;与此同时用户账号的存在,本身就存在有账号泄漏的潜在风险,每多一个账号就多一份风险。
2: 你觉得哪些场景或者行业中使用oauth认证合适? 我觉得以下行业比较适合oauth认证 场景一:政企行业 原因:政府单位和国企单位都会有涉密资料,使用oauth认证可以进行权限的统一和规范;降低涉密资料的泄漏风险。
场景二:中大型企业 原因:中大型企业的员工群体数量庞大,使用oauth认证可以提高员工的工作效率。
3: 在你做过的项目中oauth认证提现了哪些不足之处? 目前还没做过项目,只做过实验,哈哈哈哈哈;至于哪些不足之处,我认为是api接口安全管理不足; 原因:在某公司设备上的oauth认证配置都是采取明文保存;也就是说只要获得了这台设备的登录权限,就可以获得相应账户的api接口权限;还有第三方oauth服务提供商的授权管理也不细致;目前API接口也成为黑客们获取用户信息的重要手段之一
2019年OWASP API SECURITY TOP 10 API1:2019 Broken Object Level Authorization API2:2019 Broken User Authentication
API3:2019 Excessive Data Exposure API4:2019 Lack of Resources & Rate Limiting API5:2019 Broken Function Level Authorization API6:2019 Mass Assignment API7:2019 Security Misconfiguration API9:2019 Improper Assets Management API10:2019 Insufficient Logging & Monitoring
4: 某公司的产品哪些用了oatuht认证,目前有哪一些问题? 某公司的使用oauth认证的产品有:AC 和 SSL VPN; 有哪些问题: 1、api接口安全管理不足 2、AC使用第三方oauth认证(企业微信),页面显示不全,需要添加全局排除地址才能显示。
另外,问题4的oatuht是新东西吗? 还是拼写错误呀,我思维有点缓慢,跳不过去!
|