互联网通常受到违反基本安全规则的网站的困扰,然后有一个中间层,网站试图保护密码......但他们做错了。最后,有些网站可以正确执行安全性并且通常是安全的,但可能容易受到攻击,而不是直接针对密码而是身份验证过程本身。
请注意,我严格要求身份验证部分。用户管
存在哪些盒装解决方案允许我们围绕页面/内容进行身份验证,并且不易受到在 OWASP 中容易读取的内容的影响:它们正确地散列密码,它们发送 Diffie-Hellman cookie(或类似的东西)而不是散列密码作为cookie。他们遵循 RSA PKCS 规范。
存在什么?这个问题每天都在一次又一次地得到解决,老实说,我还没有听说过很多努力为网站提供一个独立的身份验证解决方案,只是有很多指南告诉你“使用别人的解决方案”。这些解决方案在哪里?
一种外包身份验证的方法是使用 OAuth、OpenID、Facebook Connect 等。这样您就不必处理用户密码。
为了保护特定页面(这将是授权/权限管理),有多种解决方案。大多数 Web 框架都有某种身份验证/授权解决方案(例如Django 的身份验证模块)。
Java/.NET 中更“企业化”的解决方案是 Spring Security。它有很多功能,但在没有配置的情况下不会做很多开箱即用的事情。周围很可能还有其他类似 Spring 的人。
因此,如果您正在寻找一种向网站添加身份验证的简单方法,请使用 OAuth 之类的方法。如果您已经在使用 Web 框架,那么它很可能已经提供了该功能。在企业界有 Spring。
你没有说你在什么样的组织。
如果您从事高等教育工作或从事高等教育研究,您可以使用Shibboleth加入InCommon 联盟。Shibboleth 在 CMS 和 OAuth 或 OpenID 所享有的框架中没有广泛的支持,但值得询问您的机构是否正在使用 Shibboleth。