玉符博客

“密码代填”安全吗?-玉符科技单点登录

密码代填是一种帮助用户实现自动登录的方式,它通过自动模拟用户填写账号密码的方式来进行登录,严格来说它不属于单点登录范畴,由于国内不少企业采用这种方式来登录日常应用,所以也成为了一种广泛应用的实现单点登录的形式。有人说密码代填很落后,有人说它有特定的应用的场景,那么“密码代填”到底安全吗?是否值得采用?本文就来深入探讨一下。 一、“密码代填”的几种常见方式 “密码代填”顾名思义就是程序代替用户填

2020年10月22日

什么是云原生?云原生技术架构包括哪些内容?

在传统的研发中,我们经常关注的安全有数据安全、代码安全、机器(运行环境)安全、网络运维安全,而云原生时代的到来,如果还是按几个维度切分的话,显然容易忽略很多云原生环境引入的新的挑战,我们需要基于网络安全最佳实践——纵深防御原则,来逐步剖析云原生的安全,并且对不同层次的防御手段有一定的了解,最重要的是建立自己云原生安全的理念,真正搭建一个内核安全的云原生系统。 注:纵深防御指在计算机系统中的多个层

2020年10月21日

单点登录引领"无密码办公“成为趋势 | 玉符科技

本文将重点阐述无密码办公解决方案,第一步是实现单点登录,第二步企业可以进一步考虑提供多种登录方式,第三步支持多因素认证,第四步个人密码自助服务,最后需要有较高的安全级别,详细内容请阅读下文。 想象一个场景: IT 运维小叉为公司新人小A开通了 10 多个应用系统账户,企业微信、绩效系统、CRM 系统、公司内网云盘等等,“健忘症患者“小A为了方便记忆,将各个系统密码全部设置为 “123456!”

2020年10月21日

一文看懂单点登录协议:CAS、OAuth、OIDC、SAML | IDaaS技术解析

单点登录实现中,系统之间的协议对接是非常重要的一环,一般涉及的标准协议类型有 CAS、OAuth、OpenID Connect、SAML,本文将对四种主流 SSO协议进行概述性的介绍,并比较其异同,读者亦可按图索骥、厘清关键概念。 一、认证与授权的区别 在介绍具体协议之前,有必要先说明“认证(Authentication)”和“授权(Authorization)”的区别。 认证(Authent

2020年10月20日

社会化登录是什么?企业是否应该实施?

社会化登录,是指用户使用社交平台的身份认证信息在第三方应用或网址进行认证登录的流程,比如大家经常使用个人微信、QQ、微博等社交账号登录滴滴、网易云音乐等。社会化登录不仅有助于简化用户在第三方平台的登录体验,同时也为用户在第三方平台创建新账号提供了一种更为简单便捷的方式。不论是对于普通用户来说,还是企业来说,社会化登录都有着无可比拟的优势。 尽管社会化登录有着自己独特的优势,但是也确实会给企业带来

2020年10月20日

IDaaS 低代码平台解放 IT 生产力

很多企业的 IT 系统都是委托外部厂商进行定制化开发部署,比如身份访问管理系统由 IAM 厂商经过 2 个月定制开发,一次性交付后,后续系统维护由企业 IT 部门承担。一旦系统运行出现了问题或系统需升级时,企业 IT 运维只能在几十万行“别人写的代码”中找 bug,或在别人写的代码基础上进行二次开发,继续陷入“写代码-找bug”的循环中…… “如果不用写代码,就不用在代码中找 bug 了吧?”

2020年10月19日

​ IDaaS 技术解析(二)单点登录之如何平衡Token安全性和用户体验

在 《IDaaS 技术解析系列(一)》中,我们介绍了在单点登录中Token认证相对于传统基于Session认证的优势,本文继续介绍一组相关概念:Access Token & Refresh Token。 众所周知,Token作为用户获取受保护资源的凭证,必须设置一个过期时间,否则一次登录便可永久使用,认证功能就失去了意义。但是矛盾在于:过期时间设置得太长,用户数据的安全性将大打折扣;过期时间设置

2020年10月18日

IDaaS 技术解析(一)单点登录之 Token 认证

IDaaS 即提供基于云的身份认证和管理服务的平台,确保在准确判定用户身份的基础上,在正确的时间授予用户正确的应用、文件和其他资源的访问权限。IDaaS 能提供多种标准化功能帮助用户实现高效、安全的身份认证管理服务,如单点登录、智能多因素认证、账号生命周期管理等等。 由于 IDaaS 在国内尚属于新兴产品形态,很多人对它只有模糊的印象,所以我们计划用一系列文章,深入浅出介绍 IDaaS 相关的技

2020年10月15日

一文看懂零信任模型的七大技术维度

如今,企业的业务和商业流程已不再局限于物理环境内,传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求,企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。 在这样的大背景下,Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初,Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是

2020年10月14日

010-84404911