免费注册,打造高效身份管理
authing blog banner
查看文章
国庆放假,我们放价 | 所有功能,全免 30 天!
    你放假,我放价,到手仅:0 元 所有功能,全免 30 天!   Authing 功能更新, 对所有用户开放“体验期”权益     功能 1:单点登录 一次登录,轻松访问所有应用:节省 90%用户登录时间;提升 500%IT 集成速率;降低 70%开发成本。   功能 2:多因素认证 在密码以外增加保护层——OTP、验证码、指纹解锁、面部识别、图形锁:降低 90%数据泄露风险,预置十几种密码策略、满足企业不同安全等级需求。​   功能 3:同步中心 一个账号,N 多系统数据即时同步:避免数据不同步造成的信息差,提高协作效率;一周工作量,降低到半天,人效提高 500%。   功能 4:权限管理 一个权限分组,多个资源、角色、权限授权:3000W+ 用户共同选择,提高 75% 组织效率,降低 40% 管理难度。   功能 5:应用集成网关 老旧应用一键迁移,零代码集成:降低 90%身份基础设施成本,减少 60%开发时间,保障原有系统资源安全性,拓展业务能力。     更多功能,立即体验     申请方式 【立即登录/注册】若您还未注册过 Authing 账号,请直接扫描下方二维码,点击【登录/注册】按钮,跟随 Authing 的控制台引导,勾选“开启体验期,30 天体验所有功能”,即可完整享受 Authing全部功能~     若您是「老用户」,可直接【登录】,进入控制台点击【创建用户池】,就可以免费体验 30 天了噢~(参考下图)     小贴士:企业内部员工场景、B 端客户及合作伙伴使用场景、C 端用户使用场景,可以各体验一次。 无论您是 Authing 资深用户还是萌新用户,Authing 将全方位满足您的身份管理需求! 2022,就让高安全、高性能、高生产力的 Authing 陪您一起度过! 开启体验期,30 天体验所有功能,您不容错过,即刻尝试吧!     扫描二维码, 立刻注册 Authing!   关于 Authing Authing 是国内首款以开发者为中心的全场景身份云产品,为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品,Authing 在产品创建初期,目标就是服务亿级的企业和个人开发者客户,轻量级、易部署、低消耗、技术栈成熟,运维易的云原生技术产品架构,成为了 Authing 的首选。 点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」  
为什么OAuth2无法提供完善的身份认证功能?
  作为开发人员,免不了要使用 API 接口,获得授权,但是授权必须安全,才能保证开发人员和用户的隐私不被侵犯与泄露,OAuth 2.0 的创建就是为了应对许多现代数字隐私裸奔困境。   OAuth 是一种关于授权(Authorization)的开放网络标准,是目前最流行的授权机制,在客户与服务商之间,设置授权层。客户必须先登录授权层,此时服务商会向客户授权令牌的权限及使用期限,然后客户才能登录服务商,使用其服务。   OAuth 不需要共享用户名和密码等相关数据,而是使用授权令牌来证明使用者和服务提供商之间的身份,允许用户授权一个 APP 访问另一个 APP 的身份信息。   假设我们要用微信账号登录网易云音乐,需要以下五步: 1. 访问网易云音乐客户端,客户端跳转到微信授权页面,询问用户是否同意授权,微信会提供授权的URL。   用户选择是否同意授权 假设用户同意授权,微信端将向网易云音乐跳转重定向 URL,同时附上授权码(code) 网易云音乐收到授权码后,附上重定向 URL,向微信端申请令牌(token) 微信端传回网易云音乐令牌,由此网易云音乐就可以拿着访问令牌访问微信用户信息   在用户将微信信息授权给网易云音乐登录后,此时后端开始处理,前端不再参与。此时需要微信的服务器将 token 传给网易云音乐的后端,后端携带 token 去访问被授权的微信信息。在授权成功后,需要重定向 URL 通知用户授权成功,也就是说,建立起微信前端和网易云音乐前端的关联。   code 的作用在于让 token 不经过用户的浏览器直接传递,保护了 token 的安全。因为 code 只能用一次,且有时间限制,超时会失效,所以即使被截也未必能用。   其次,要获得 token,除了需要 code,还需要 client id/client secret。所以即使 code 被盗,也是无法获得 token 的。   综上,code 可以保证 token 的安全性,降低被盗取风险。   单点登录 SSO 已成为管理企业世界中用户对应用程序和数据的访问的日益流行的选项。 Authing 凭借单点登录技术,实现成员、客户在一处访问任何软件服务,并统一管控身份权限。无论通过企业联合、 社会登录还是用户名和密码身份验证,用户只需登录一次,就可以使用他们被授予访问权限的所有应用。   常见的单点登录协议包括 OIDC、OAuth 2.0、SAML2、CAS 3.0、LDAP 为标准认证协议。标准协议会按照特定的方式传递用户信息,正规的业务系统产品都会支持标准协议,使用标准协议对接可以一劳永逸地完成对接。   标准协议的推荐度:OIDC > SAML2 > CAS 3.0 > LDAP > OAuth2.0。     关于 Authing Authing 是国内首款以开发者为中心的全场景身份云产品,为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品,Authing 在产品创建初期,目标就是服务亿级的企业和个人开发者客户,轻量级、易部署、低消耗、技术栈成熟,运维易的云原生技术产品架构,成为了 Authing 的首选。 点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」
在多云生态下,如何实现跨云的自动化身份管理?
  伴随着移动互联网、人工智能、云计算等技术的发展,企业的信息化建设增速,业务系统、员工规模不断壮大。企业渐渐从传统的本地架构向云端迁移,面临着人员流动性增加,所需应用系统只增不减、种类繁多的困境,身份信息管理成为一项不可忽视又十分繁重的工作。   每一个员工入职和离职,HR 都会将他们添加到相关协作系统或软件并开通相关权限,比如 OA、飞书、财务系统等等,具体表现为销售会被添加到销售易、智齿等,产品经理会被添加到 ProcessOn、墨刀等,运营会被添加到神策、麦客 CRM 等。如果每天入职仅仅十几个人,手动添加以人均 20 分钟算,需要至少 200 分钟(3 个多小时)。具体说来,招聘时企业需要给候选人发送面试通知、笔试题,招聘结束后如果候选人通过面试,企业需要给新人办理入职;培养涉及很多课程,不同课程对应不同岗位员工;保留涉及关键员工晋升、员工满意度的调查;淘汰涉及员工离职流程、文档交接等;外借类似外部专家、技术咨询,这需要一些内部资料,培训结束后也需要进行知识管理。但如果像一些房企、金融、互联网等大型企业,整个集团数十万人,每天入职数百人,手动添加变得不现实,需要有一个团队专门干这些高重复性的工作。   更为严重的是,人工开权限可能会导致一些错漏,干一个小时可能还有耐心,如果长时间重复干一件事就会麻木、导致一些不必要的错误。根据注意力分散法则,职场人平均集中注意力的时间仅为 45 分钟,甚至在 45 分钟,也会被各种工作信息、开会打断,当不同任务进行切换时,大脑会消耗大量的精力,导致工作效率很低。由此可见,真正能集中注意力“人工录入”信息的时间少之又少,万一出错了,重新录入、审核又需要花费时间。有些大企业,一旦员工入职流程走完了,其中一步出了问题,又需要推倒重来,再重走一个万里长征似的审批流程,让人分外崩溃。   在整个过程中,企业经常面临如下挑战: 员工的入职、调岗、兼职、离职等,需要人工创建、删除账号;对权限、信息进行认证、变更,工作量较大,容易造成漏删、误删。员工账户又涉及正式员工、临时工、经销商、供应链伙伴等多种角色,大量的员工入职、离职的账户管理,对人力、IT 部门是一个极大的挑战。 内部应用系统众多,认证方式千奇百怪,每个系统都建立不同的账号、密码,员工难以都记住。同时,运维人员也难以实现用同一套系统,对所有人员的身份信息和同一人员的多维度字段信息进行集中安全管理。 缺乏统一审计,造成资源浪费和信息泄露隐患。   所以,企业需要构建数字身份「体系」,保障身份互联、数据互通等能力,让业务流转加速,提升企业整体效率。整合数字智能生态,通过整合企业内外部应用,实现数据、身份、业务的闭环,以「身份中台」为底座,通过「零信任」安全架构,加速企业数字化转型进程。   解决方案: 身份自动化:用自动化的账号生命周期管理代替手动式账号管理,人员入职-创建账号-选择部门-授权应用-授权角色-停用-离职-归档-删除,实现自动化生命周期管理。 统一用户管理:统一建立单一身份源,将身份中的属性信息同步至统一目录,向外输出唯一标准数据,便于管理。同时,Authing 统一目录支持对统一人员账户信息进行集中安全的存储和管理。 统一认证管理:Authing 在一个门户里集成了内外部多套业务系统(例如 C/S 应用、SaaS 应用等), 通过单点登录 SSO,用户只需输入一套账号密码,即可登录所有业务系统,无需在多应用之间频繁切换。 统一权限管理:Authing 提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务,帮助解决银行业当前身份权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题,打造科学的权限治理体系,整合银行资源,实现用户、应用、设备、服务器、操作系统、 API 权限可管、可控和可视。 统一安全治理:Authing 搭建了风控中台及自适应决策引擎,在人员角色、受保护资源、访问策略、风险控制策略等方面,进行全链路安全审计,提升企业或组织数字化转型过程中的风险控制能力,大规模降低身份相关业务的受损风险。 同步中心:Authing 同步中心可针对上游数据源和下游业务系统,进行组织机构和用户信息的自动化同步,即一个账号,将 N 多系统数据进行同步,真正实现一处管理、处处同步,避免了企业管理者在各个系统中手动维护应用账号,人效提高了 500%。             另外,Authing 还通过可视化安全审计、多因素登录、密码管理、加密传输与存储,7 x 24 小时的安全应急响应,持续为企业和开发者提供完善安全的用户认证和访问管理服务。   案例:元气森林 元气森林通过对接 Authing API,快速创建了一站式的团队应用平台,通过集成系统,快速导入组织架构和所有成员数据,减少了因身份分散带来的安全漏洞风险,没有繁琐的、额外的开发设计,缩减了 80% 的研发时间和成本。   Authing 以身份为中心,为元气森林构建适应未来的用户管理体系和安全访问控制策略。通过自动化生命周期管理解决方案,可以智能实时地控制用户的不同访问权限。主要包括以下三方面: 通过突破性的单点登录技术,无需任何开发,快速助力元气森林实现员工一个账号密码登录所有应用,并统一管控身份权限。 通过与飞书产品层面的打通,为元气森林提供身份供应,实现基于飞书组织架构下的不同权限不同访问级别,节省运维人员 80% 的工作量。 为元气森林提供一站式团队应用平台,实现成员和集中管控访问权限,打造高效的办公方式,简化人事、IT管理,加速企业成长。 Authing 身份云是国内唯一以开发者为中心的全场景 IDaaS 服务商,以身份及服务的云计算视角,基于多租户云原生架构,集成了所有主流身份认证协议,遵循不同国家和行业的合规性要求,在所有 SaaS 软件和数亿用户中建立高安全、高性能、高生产力的统一身份认证平台,支持所有企业和开发者便捷灵活接入,满足各类场景化需求。   Authing 身份云最大优势在于对企业和开发者友好,提供所有主流编程语言的 SDK,开放 1000+ API。在 API 之上,我们提出了全新开发理念——Hyper Component;将登录框做成组件的形式,只需五行代码即可完成嵌入。我们提供了跨平台的组件化方案,同时支持 Web、iOS 和安卓端。   关于 Authing Authing 是国内首款以开发者为中心的全场景身份云产品,为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品,Authing 在产品创建初期,目标就是服务亿级的企业和个人开发者客户,轻量级、易部署、低消耗、技术栈成熟,运维易的云原生技术产品架构,成为了 Authing 的首选。 点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」  
热点!身份治理能力成熟度试评估正式启动!
  ​伴随着组织规模的不断扩大以及组织业务生态的不断蔓延,组织传统资源的数字化管理及数字资产保护正在面临巨大的挑战,身份成为组织关键基础设施之一。身份治理通过清晰的管理身份权限定义访问策略、预判风险,使正确的人员能够在不同的场景下访问正确的资源,从而抵御潜在威胁,保护企业关键资产,同时满足日益复杂的内外部审计需求。《身份治理能力成熟度模型》系列标准由中国信息通信研究院牵头,招商银行股份有限公司、中国电信股份有限公司研究院、中国移动通信集团内蒙古有限公司、南银法巴消费金融有限公司、北京蒸汽记忆科技有限公司、山东伏羲智库互联网研究院、国民认证科技(北京)有限公司等共同编制的等企业共同制定,当前已在中国互联网协会成功立项。   标准内容   本标准是国内首个身份治理能力测评成熟度标准,能够为企业在新的数字化转型过程中提供专业、有效的身份治理指导和管理创新实践,对中国自主可控的信息技术基础设施创新实践也具有重要意义。本标准适用于组织和企业对内部实施的身份治理能力进行评价和指导,也可作为身份治理能力建设与解决方案建设参考依据,亦可作为第三方权威评估机构衡量组织和企业身份治理能力成熟度的标准依据。身份治理能力成熟度系列标准包括两个部分:   第1部分:通用能力要求   第2部分:系统和工具技术要求     身份治理能力成熟度模型第 1 部分: 通用能力要求 身份治理能力成熟度模型第 2 部分: 系统和工具技术要求 后续行动计划 2022 年 10 月-11 月:试评估报名   2022 年 11 月-12 月:开展试评估工作   2022 年 12 月:评估结果将在年底品牌大会发布   联系我们 欢迎企业专家咨询标准试评估工作事宜   联系人:吕老师   联系电话:18620657903   邮件地址:lvfuxiao@caict.ac.cn   - End - 关于 Authing   Authing 是国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务。Authing 被科技部认定为「2020 国家高新技术企业」,被中国信息通信研究院评选为「国内身份管理与访问控制领域创新企业」,并被录入《2019 网络安全产业白皮书》。Authing 已为中国石油、国家电网、招商银行、日本丰田、德高集团等国内外优秀企业打造了卓越的开发方式、高效的办公流程和安全的 IT 管理体系。 点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」
身份与访问管理(IAM)的大变局
IAM 正面临着三十年未遇的变局。 ​ IAM(身份和访问管理)通常负责用户需要访问的各种系统中的身份生命周期管理,包括入职、离职、角色变更等。但是,尽管 IAM 解决方案已经在市场上销售了三十多年,但它仍然被公认是极其复杂,并且非常耗时和耗费资源的。除此之外,组织的数据和身份也在不断扩大。许多组织正在考虑或已经将其数据扩展到云。曾经由组织的内部措施所控制和保护的内容,现在已经呈现分布式扩散,所以对它们的访问控制也随之分布式扩散。许多组织还需要支持分布式身份。员工可以从任何地方、办公室、家庭或移动设备访问组织系统。公司兼并、外部承包商,扩大了这些系统需要支持的身份来源。   如今,随着公司企业往自身内部网络和基于云的网络中添加成千上万的新设备,身份与访问管理 (IAM) 技术也将经历巨大的转型。企业的 IAM 基础设施要能够适应:   大规模用户量 新 IAM 技术将不得不支持数百万台设备(及用户),每台设备(或每个用户)都有各自的属性列表。这就是个 N×N 的身份属性矩阵。而且,这些用户和设备还有可能是临时的——作为某种业务或执行过程的一部分而出现并消失。仅资产审计这一项,就是耗时耗力的繁重任务。   隐私及安全要求 设备需具有强化的配置、唯一的身份、多因素认证功能,以及设备间安全通信。这就需要有与现有网络、云和 IAM 基础设施紧密集成的新型策略引擎和实施控制措施。   持续智能监视 为维持可用性、高性能和安全性,身份互联网需要有持续的监视。考虑到急速增长的规模,可以说,人类自身是无法跟上这些活动的。于是,让身份互联网列车持续准时运转的重担,就落在了人工智能和机器学习算法的引入上,恰当的 AI 与机器学习的引入,有助于自动化区分正常行为与异常活动,并将之转译为人类可用的情报。   客观的说,微软虽然是软件业的龙头,但 AD 完全不足以管理和维护身份互联网。   随着身份互联网的成型,企业和组织将会出现几个重大转变:   公司企业将集中化 IAM 管理和采购 过去几年里 IAM 有机增长,倾向于由应用开发人员、IT 运营和安全人员的松散耦合进行管理。随着身份互联网的发展,公司企业会认识到,现有的拼凑式 IAM 无法解决身份互联网的规模化问题,也无法驱动新的业务进程。到那时,很多企业都会把下一代身份基础设施列为优先考虑。   身份管理走向云端 对大规模、持续地连接和处理能力的需求,将驱动大型企业拥抱基于云的 IAM 服务。   对安全性的要求更加高 企业战略集团(ESG)的调查显示,66% 的公司企业宣称,他们的安全团队对 IAM 策略、规程和技术的参与度,比 2 年前有了大幅或某种程度的增长。然而,这还仅仅只是个开始。随着身份互联网地位的稳固,CIO/CSO 将会紧密参与到编制和实施身份策略中来。对数据隐私的重视也会大幅增加。   为什么全世界的企业都在关注身份管理?   身份管理是所有企业安全计划的重要部分,因为今天的数字化经济中,身份管理与企业安全和生产力密不可分。   被盗用户凭证常常是进入企业网络及其信息资产的入口点。企业采用身份管理来保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击的威胁。Cybersecurity Ventures 估计,2020 年,仅全球勒索软件破坏的损失,就可达 50 亿美元。   在很多企业里,用户的权限有时会比实际所需的要高。健壮的身份管理系统,可通过确保整个企业内应用一致的用户访问规则和策略,为企业添加一层重要的防护。   身份管理系统可增强企业生产力。这些系统的中央管理功能,可减少保护用户凭证和访问权限的复杂性及开销。同时,身份管理系统还让员工在各种环境下更富生产力和安全性,无论他们是在家工作还是在办公室开工,还是在出差途中。   很多政府要求企业注重身份管理,身份系统可帮助企业遵从这些规定。《通用数据保护条例》(GDPR)要求强安全和强用户访问控制。GDPR 强制企业保护欧盟公民的个人数据和隐私。该条例已于 2018 年 5 月正式生效,在欧盟国家经营或拥有欧盟公民客户的每家公司均受其管辖。   身份管理系统可以自动化为企业网络和数据提供安全的用户访问,减轻 IT 在这些琐碎但重要的任务上的负担,并帮助他们持续符合政府的规定。鉴于如今每个 IT 职位同时也是安全职位的态势;全球性网络安全劳动力紧缺在持续;不合规所遭受的惩罚可让企业损失数百万甚至数十亿美元;上述这些都是非常重大的好处。   公司怎么从身份管理系统获益?   实现身份管理和相关最佳实践,可以多种形式带来重大竞争优势。现下,大多数公司需要为外部用户赋予到内部系统的访问权限。向客户、合作伙伴、供应商、承包商和雇员开放公司网络,可提升效率,降低运营成本。   身份管理系统可使公司在不破坏安全的情况下,将访问权限扩展至其各种各样的信息系统,包括企业内应用、移动 App、SaaS 工具等。向外部提供更多访问,可驱动整个企业的协作,提升生产效率、员工满意度,提振研究和开发,最终形成收益增加。   身份管理系统可成为安全网络的基石,因为用户身份管理是访问控制拼图的重要一块。身份管理系统要求公司企业定义自身访问策略,具体描述哪些人可以在哪种情况下对哪些数据资源具有访问权。   因此,管理良好的身份系统意味着对用户访问更好的控制,也就是内部和外部数据泄露风险的降低。这非常重要,因为,伴随着外部威胁的持续上升,内部攻击同样愈趋频繁。根据 IBM《2016网络安全情报索引》,约有 60% 的数据泄露是由公司自己的雇员导致的。当然,75% 是恶意的,25% 是无意的。   新一代 IAM ——基于云端的身份解决方案 IDaaS   基于云的 IAM 所面临的挑战,主要是资深云系统安全专家的缺乏。如果没做对,信息安全风险增加就是可能遇到的非预期结果。   而且,采用 SaaS 访问控制系统需要现场协调符合当前安全身份验证及授权标准。公司还需清楚如何配置与集成现场系统和云 IAM 系统。   如果公司有保证生产数据不被非生产环境云租户访问的策略和操作,某些 SaaS 应用可能会要求公司的策略稍作调整。如果 SaaS 产品允许自定义,你怎么开发、测试和部署?它适应你的当前部署和自动化团队的过程及工具吗? 采用云模式,必须要清楚自己在做什么,以及为什么这么做。单纯采纳云优先策略,必将迎来痛苦的体验和悔不当初的感受。应对 IAM 云挑战最重要的方法,是构建与 IAM 需求、预算、人力资源要求、技术及人力限制,以及 IAM 架构协调一致的云策略。   公司企业必须要能根据期望衡量结果,并愿意基于自己的指标接受方向上的变化。IAM 云策略必须公司的 IAM 目标,并能在企业文化的约束下存活。   云部署是最安全最无缝的模式,但保证有效集成却存在一些困难。困难之一就是得确保公司正确设计并实现了安全及合规控制,比如访问控制、日志记录和监视。现场部署中的所有控制目标都可以在云部署中达成,但往往需要一套不同的方法和工具。   可靠的身份即服务 (IDaaS) 平台可以解决云系统相关的身份挑战。将单独的平台服务引入公司环境,就可以接过容量规划、硬件、核心功能开发等事务,将公司人员解脱出来,去处理实现和终端用户体验等问题。还能让管理层专注于公司整体战略中最有价值的专业技能和知识产权的核心领域,将复杂的 IAM 交给外部专家。   安全界谈论基于身份的计算和基于身份的互联网已经有好几年了,但这更多只是个愿景而非现实。随着身份互联网的进化发展,愿景终将成真,带来一段充斥混乱、创新和转型的时期。   我们如今正行驶在高速入口处,但高速车流的移动速度比我们想象的要快得多。换句话说,身份与访问管理正面临着其自诞生以来从未经历过的变局,而以 Authing 为代表的 IDaaS 服务已经成了应对身份管理问题的最佳解决方案。 - End -   关于 Authing   Authing 是国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务。Authing 被科技部认定为「2020 国家高新技术企业」,被中国信息通信研究院评选为「国内身份管理与访问控制领域创新企业」,并被录入《2019 网络安全产业白皮书》。Authing 已为中国石油、国家电网、招商银行、日本丰田、德高集团等国内外优秀企业打造了卓越的开发方式、高效的办公流程和安全的 IT 管理体系。   点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」  
五行代码实现在小程序中接入微信登录
Authing 通过 SDK 为开发者提供了一种快速在小程序中获取用户信息并完成登录的方法。通过 Authing 的 SDK 可以方便地获取微信提供的用户身份标识,快速建立以手机号码为基础的账号体系。   应用场景:小程序; 概述:在微信小程序内使用,弹出微信授权框,用户授权之后可以获取当前用户的信息; 查看微信官方文档。     第一步:在微信公众平台创建一个小程序   请前往微信公众平台指引创建一个微信小程序,你需要记录下该应用的 App ID 和 App Secret ,后面需要用到。如果你需要获取用户手机号,需要通过微信认证。并将 core.authing.cn 加入微信的 request 合法域名。   第二步:在 Authing 控制台配置微信小程序应用   在控制台的社会化登录配置页面,找到微信小程序应用,填入以下配置:   App ID: 小程序应用 ID; App Secret: 小程序应用密钥。   配置完成后请点击「确定」保存信息。   第三步:开始开发接入   从小程序基础库版本 2.2.1 或以上、及开发者工具 1.02.1808300 或以上开始,小程序支持使用 npm 安装第三方包,详情请见:npm 支持 | 微信开放文档。   安装 npm 包   使用 npm: npm install authing-wxapp-sdk 或者使用 yarn: yarn add authing-wxapp-sdk   点击开发者工具中的菜单栏:工具 --> 构建 npm:   勾选「使用 npm 模块」选项:     初始化 SDK   AuthenticationClient 初始化需要传入 AppId (应用 ID): 你可以在控制台的应用中查看自己的应用列表。 const { AuthenticationClient } = require("authing-wxapp-sdk")     调用登录方法   AuthenticationClient 提供了 loginByCode 方法,可以通过微信的授权完成静默登录: const { code } = await wx.login() 在用户完成登录之后,SDK 会将用户的 token 写入到微信的 Storage 中,后续请求会自动携带 token 访问。   后续用户再次打开小程序,如果小程序的 Storage 中保存有用户的 token,访问 authing 的请求将会自动带上该 token。 // 该请求可以成功,因为该用户处于登录状态。 详细请查看文档:小程序 SDK(https://docs.authing.cn/v2/reference/sdk-for-wxapp.html)。   接下来   获取到用户信息之后,你可以得到用户的身份凭证(用户信息的 token 字段),你可以在客户端后续发送给后端服务器的请求中携带上此 token, 以 axios 为例: const axios = require("axios");   在后端接口中需要检验此 token 的合法性,来验证用户的身份,验证方式详情请见文档「验证用户身份凭证(token)」。识别用户身份之后,你可能还需要对该用户进行权限管理,以判断用户是否对此 API 具备操作权限。   - End - 关于 Authing   Authing 是国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务。Authing 被科技部认定为「2020 国家高新技术企业」,被中国信息通信研究院评选为「国内身份管理与访问控制领域创新企业」,并被录入《2019 网络安全产业白皮书》。Authing 已为中国石油、国家电网、招商银行、日本丰田、德高集团等国内外优秀企业打造了卓越的开发方式、高效的办公流程和安全的 IT 管理体系。 点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」      
微软关闭基本身份验证,对企业与员工有什么影响?
微软决定自 2022 年 10 月 1 日起,在全球范围内对使用 Exchange Online 的用户逐步关闭基本身份验证,将关闭以下协议的基本身份验证:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(对尚未使用 SMTP AUTH 的租户,SMTP AUTH 也将被关闭)。   此外,使用由世纪互联运营的 Office 365 服务的租户将于 2023 年 3 月 31 日起全面关闭基本身份验证,在此之后,用户无法以任何形式访问账户,除非特殊申请。   01 基本身份验证的弊端   微软将任何不支持 MFA 的 Microsoft 365 进行身份验证的方式称为“基本身份验证”, 启用旧式身份验证的账户更容易受到安全因素影响,因为账号安全性依赖于用户定义的密码强度。   基本身份验证是一种基于 HTTP 的身份验证方案,由应用程序向服务器、服务或 API 节点发起每个连接请求时,都会同时发送用户名和密码,并将这些凭据保存在设备上,这种身份验证很容易让不法分子窃取用户凭据,并且还易受到密码喷涂攻击。在 2021 年 7月,微软威胁情报中心和数字安全部门的研究员发现了一个恶意活动集群,DEV-0343,正在对美国和以色列国防技术公司的 Office 365 用户发起大范围的密码喷涂攻击。微软解释说:“他们不是针对一个用户尝试多个密码,而是通过尝试多个用户针对一个密码尝试破解锁定和检测。”   更糟糕的是,在使用基本身份验证时,启用多重身份验证(MFA)非常复杂,而且通常根本不适用。   微软表示,关闭基本身份验证应该通过防止攻击者破坏用户帐户来帮助提高其 Exchange Online 服务的安全性。“提醒一下,Basic Auth 仍然是我们的客户受到损害的最常见方式之一,这些类型的攻击正在增加。我们已经在数百万个未使用它的租户中禁用了基本身份验证,目前正在仍然使用它的租户中禁用未使用的协议,但是每天你的租户都启用了基本身份验证,你都有受到攻击的风险” Exchange 团队解释说。   2021年,在全球范围内,每天有 30,000 个网站被黑客入侵;全球 64% 的公司至少经历过一种形式的网络攻击;每 39 秒,某个程序就会发生一次新的攻击。   根据《信息安全与通信保密杂志社》报道,传统身份认证存由于技术缺乏在用户客户端平台硬件启动阶段对客户端进行身份认证,存在非授权客户端平台接入网络的现象,为用户网络带来潜在威胁传统的身份认证技术依赖于操作系统,采用数字证书的软件认证方式,容易受到病毒、木马、身份仿冒等恶意攻击,且存在被旁路绕过的风险。   由此可见,传统身份认证已经无法应对日益严峻的旁路攻击、木马/病毒攻击、无权限的客户端非法接入等问题,“新式身份验证”方兴未艾,可提供更安全的用户身份验证和授权。   02 新式身份验证的兴起   新式身份验证是客户端(例如,您的便携式计算机或手机)与服务器之间的身份验证和授权方法的组合,以及依赖于您可能已经熟悉的访问策略的一些安全措施,旨在摆脱传统的用户名\密码方法,而是依赖于基于令牌的声明,包括:   身份验证方法:自适应多因素认证 (MFA);智能卡认证;基于客户端证书的身份验证   授权方式:微软的开放式授权 (OAuth)的实现   条件访问策略:移动应用程序管理(MAM)和 Azure Active Directory(Azure AD)条件访问   虽然用户仍需要提供用户名和密码,但它仅仅用于向身份提供程序进行身份验证,生成用于访问的令牌。此令牌以更具体的信息(声明的形式),指定请求者执行的操作和无权访问的内容,过期可吊销,基于“从不信任,始终验证”原则管理用户访问权限。   例如,如果一个非财务部的员工访问公司财务帐户,系统会启用验证应用程序或短信检索代码,这位员工需要将该代码输入到界面中,才能访问帐户。看似简单的一步附件因素,却可以有效降低账户信息泄露威胁。在大多数情况下,这个简单的附加“因素”可以防止您的帐户凭据已泄露的尝试安全威胁。   MFA 也可以更复杂,结合指纹,掌纹或语音识别等生物识别技术。无论采用哪种类型的 MFA,它都是向用户帐户添加重要保护层的有效方法。   更为值得一提的是,据报道,使用现代身份验证可降低企业安全威胁的比率在金融、科技、零售、制造业等 16 个领域均超过 95%,排名前五位的分别是科技领域(99.6%)、政府领域(99%)、教育(98.5%)、批发贸易(98.3%)、房地产、出租与租赁(98.2%)。   思科顾问首席信息安全官、俄亥俄州立大学前首席信息安全官海伦·巴顿(Helen Patton)表示,“商品化的网络威胁,特别是勒索软件集团,加上远程工作的急剧增加,使 MFA 需求增大。不断变化的技术,我们必须应对的威胁行为者的变化,我们管理支付方式的变化 - 所有这些都导致我们需要更好,更普遍地使用 MFA。使用 MFA 后,消费者和员工经常将接收带有一次性密码(OTP)的短信或电子邮件的额外步骤视为登录过程的繁琐且不必要的步骤。”   03 Authing 多因素认证的优势   通过对数据安全监管等技术的研究,Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力,采用全局 MFA 提升整体的安全性。Authing 多因素认证 赋能 Authing 应用,即刻提升应用认证与访问安全等级。Authing 可提供包括手机令牌、短信/邮箱验证码、兼容第三方身份验证器、生物识别、图形锁、小程序认证等多种认证方式,提高企业身份安全性。   Authing 国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,致力于帮助企业和开发者提供完善安全的用户认证和访问管理服务。凭借安全、完善、易用的用户认证和管理平台,Authing 已帮助全球 20000+ 企业和开发者构建标准化的用户身份体系,每月支持近亿用户安全登录数万系统,成为新一代身份基础设施。   2022 年 4 月 28 日,Authing 顺利通过 ISO/IEC 20000-1 服务管理体系(ITSMS)和信息安全管理体系认证,从专业和权威层面验证和肯定了 Authing 的安全管理等级已达到国际领先水平。   Authing 以共同的安全责任模型为客户统一提供具有保密性、完整性和可用性的服务,采用自适应多因素认证技术,在用户进行认证流程时,「自适应」多因素认证对当前登录的用户生成的多种 「关键要素」。可集中配置多种密码以外的认证因子,包括动态令牌、证书、人脸、指纹等生物特征;也可集成多种常见第三方认证源。同时,提供开发者 API,支持其他应用使用 IDaaS 的身份认证能力。   应用场景   随着移动办公、远程办公的普及,如何在有限资源的条件下,确保产业链各类角色成员都能高效的访问各类应用系统及办公资源,是 IT 管理部门的重要任务。 在整个过程中,经常面临如下挑战:   1.更多变的工作场所。销售、商务人员经常要全国各地拜访客户,进行异地登录、切换设备,在这个过程中,一旦设备丢失、维修,对系统安全性造成了极大挑战。   2.更强的安全性需求。根据美国最大通信运营商威瑞森最近发布的《2021 年数据泄露调查报告》:85% 的数据泄露涉及人的因素;61% 的数据泄露牵涉登录凭证。降低风险对企业至关重要,一旦客户和用户数据信息泄露,将会失去客户信任,对企业品牌和声誉造成不可估量的损失。   3.更便捷的登录需求。安全性的增加,也造成了一定程度上身份验证的繁琐,系统多的公司,员工甚至要记录数十个不同账号和密码,如果忘记了密码,还得找 IT 部门重设,极大地影响了工作效率。   在多因素身份验证提供多层保护的情况下,Authing 自适应多因素身份认证会评估企业用户在请求访问时呈现的风险,查看用户设备和位置等详细信息以了解上下文,保障身份互联、数据互通等能力,让业务流转加速,提升企业整体效率,实现数据、身份、业务的闭环,以「身份中台」为底座,通过「零信任」安全架构,加速企业数字化转型进程。   MFA 提高了安全性,即使一个凭据遭到入侵,未经授权的用户也无法满足第二个身份验证要求,并且也无法访问目标用户的身份空间、计算设备、网络或数据库。   已在企业中实施自适应多因素认证的用户还可以通过单点登录(SSO)继续加强身份验证和授权,单点登录(SSO)允许用户对多个服务使用一组凭据,用户只需输入一套账号密码,即可登录所有业务系统,无需在多应用之间频繁切换,以此保证企业员工在任何地方、任何地点、任何计算机上无缝访问多个应用程序,提高了员工和 IT 的生产力,优化了用户体验。   单点登录(SSO)可以帮助降低员工因需要输入多个账号和密码带来的沮丧情绪,而自适应多因素认证 MFA 允许他们在登录严格权限的程序或网络之前验证用户身份,二者结合使用,保证了企业和员工信息的安全性,提高了客户信任度,降低了运营成本。   MFA 验证至少混合了两个单独的因素。一方面,是你的用户名和密码,即你的信息。另一方面,是你的物理信息,即你的指纹、人脸等人体特征,即你是谁。Authing 自适应多因素身份认证主要包括以下几种认证方式:   1. 手机令牌   通过安全性强的动态 OTP 口令验证,帮助保护账户安全,避免恶意攻击。   2. 短信/邮箱验证码   操作简单 方便快捷 提高登录安全性     3. 兼容第三方身份验证器   兼容第三方身份验证器,包括但不限于: Google Authenticator Microsoft Authenticator Authy   4. 生物识别   指纹/人脸作为人体特征的关键因素,在安全认证领域被广泛应用。   5. 小程序认证   将 Authing 移动令牌验证器集成至微信小程序,免去安装 APP 的流程,快捷使用移动端验证器。  客户案例   某国高科技企业内部使用了多套系统,且各个账号体系对于密码的安全等级需求也不一致,导致员工在不同系统切换时,需要多次进行身份验证,如果验证不成功,还得找 IT 部门更换密码,造成体验不佳,极大地影响了工作效率。   Authing 为其提供了两种解决方案。   一方面,Authing 提供了统一权限管理、员工全生命周期管理等能力,提高了企业管理团队工作效率。另一方面,Authing 提供了自定义密码强度及轮换、自定义加密等级等基于低代码和 Serverless 能力,符合了安全性与合规性要求。   04 未来规划   Authing 安全产品负责人汪智勇表示,在未来,Authing 会提供更加灵活、智能的 MFA 服务产品,可以独立嵌入到应用之中,并且会不断扩展 MFA 的支持场景,例如 ADFS、RSA 等等。同时在现有的自适应 MFA 基础上,能够提供更加灵活、细腻度的验证策略配置,可以基于用户的设备、网络环境、时间、行为特征、历史习惯等等因素设置多因素认证策略,充分适配不同企业对于用户体验与访问安全的平衡偏好。   关于 Authing Authing 是国内首款以开发者为中心的全场景身份云产品,为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品,Authing 在产品创建初期,目标就是服务亿级的企业和个人开发者客户,轻量级、易部署、低消耗、技术栈成熟,运维易的云原生技术产品架构,成为了 Authing 的首选。   点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」  
从“羊了个羊”看游戏行业云计算转型
今天,你通过羊了个羊第二关了么?   第二关玩了几十几百次发现,竟然登录不上游戏了。接连的“登录异常”公告让人身心俱疲。       由此可见,“正常登录”是所有游戏公司需要确保的第一道关口。没有这一关,后面的都免谈。 羊了个羊爆火的背后,得益于技术的发展降低了研发成本,根据《2022 微信小游戏增长白皮书》显示,即使是原生制作的小游戏,研发周期与成本至少能降低至手游 APP 的 50%。在相同投放效果下,小游戏的研发回本周期更短。   01 云计算推动游戏行业蓬勃发展 近些年,游戏行业正在被云原生技术重构,实施游戏即服务(GaaS)。云技术为玩家带来更灵活、更低成本、更便捷的游戏体验。无论何时何地,玩家都可以选择用手机、电脑、电视、VR 眼镜体验沉浸式游戏,甚至可以各个设备端口之间随意切换,并同步实时游戏状态。 云计算作为最重要的技术方向为玩家带来高互动、强社交、沉浸式游戏体验,但这也对游戏的开发和运维提出了更高要求。随着玩家人数的不断攀升,对于服务器稳定性提出了更高要求,即要做到——支持百万玩家同时在线,且服务器运行流畅、不卡机。如果后端服务器性能不够,就会造成游戏卡顿,影响玩家游戏体验,造成用户流失。 就用户端而言,在以往玩家需要有强大的硬件——手机或笔记本电脑才能确保游戏运行,但如今只需要高质量的互联网连接即可。简言之,就是将配套设施完备性从玩家自己转向游戏厂商。 因此,为了确保玩家游戏体验,游戏服务端部署速度、云端资源是否灵活弹性成为各大游戏厂商刚需。   02 一套账号系统,多端登录 对于玩家而言,一款游戏能否畅通无阻地在各个端口运行成为关键因素,稳定的服务器环境和强大的运算能力则是保障流畅游戏体验的前提。 对于游戏开发商、发行商、渠道商而言,云计算将会对其商业模式带来新的挑战与机遇——硬件变得没有那么重要,而网络稳定的连接、支持多个账号端登录、跨平台的一致性体验变得更为重要,即让用户在任何屏幕、任何设备、任何时间畅玩任何游戏。 米哈游公司的《原神》就是高质量和跨平台一致性体验的范例,这款诞生于 2020 年 9 月的游戏,一上线就在 PS4、PC、Android 和 iOS 上同步推出,且各个平台提供几乎相同的游戏体验,实现数据互通。此外,在相同的玩法设计下,玩家仍然可以与其他平台的朋友们一起畅玩。 截至 2022 年 8 月,《原神》移动端的下载量已超过 1.1 亿次,收入超过 36 亿美元(约 250 亿元人民币)。 此外,云计算技术与 5G 的结合,游戏硬件的呈现形式也越来越丰富。比如成立于 2017 年的 Nreal,率先在全球范围内推出消费级 AR 眼镜。 2022 年 8 月,Authing 携手 Nreal,充分利用自身技术优势,为 Nreal 用户提供了安全、灵活、易用、高效的数字化登录体验,实现:一套账号密码,即可无缝登录游戏、办公、直播等多个客户端,降低了接近 50% 研发周期,节约了开发成本,为 Nreal 进一步拓展中国市场提供技术支撑。 Authing 携手全球销量第一的消费级 AR 眼镜品牌 Nreal   03 异地备份,保障用户信息安全 安全性是云计算的优势之一。在云存储中,数据会异地备份由第三方服务器进行处理,通过 API Web 服务访问,这个系统会在多个服务器上存储多个数据备份,以保证在一个系统发生问题时,始终有备份数据保障系统运行而不会遗失信息。 近些年,随着网络游戏实名制政策的推出,用户信息保障越来越健全(2019 年 11 月,国家新闻出版署发布《关于防止未成年人沉迷网络游戏的通知》,开始实行网络游戏用户账号实名注册制度,即所有网络游戏用户均须使用有效身份信息方可进行游戏账号注册),玩家可以安全地将个人信息存储在云端。 此外,云计算技术可以保障玩家在笔记本电脑或者手机出现故障的时候,保障用户信息安全存储与检索。比如,用户在笔记本电脑维修时,依旧可以在手机端登录畅玩。 近些年,数据泄露事件频发。根据 IBM 安全公司第 17 届年度《数据泄露成本报告》(该研究在 2020 年 5 月至 2021 年 3 月期间考察了全球 500 家机构),数据泄露的平均成本已超过 420 万美元,同比增长 10%。于是,一些企业会选择访问安全代理(CASB),措施包括身份认证与授权、访问管理、审核等,从而确保在所有云服务端口的一致性、合规性、可见性和数据安全性,实现在 IaaS、PaaS、SaaS 等环境敏捷部署。 Authing 以共同的安全责任模型为客户统一提供具有保密性、完整性和可用性的服务,采用自适应多因素认证技术。在玩家登录游戏时,通过多因素认证(MFA)对当前登录的用户生成多种 「关键要素」。 一方面,可集中配置多种密码以外的认证因子,包括动态令牌、证书、人脸、指纹等生物特征,确保用户“已成年”。另一方面,提供开箱即用的 SDK,确保 iOS、Android 和 Web 端一致性登录体验。   04 即用即付,降低部署成本   在传统的游戏模式中,当系统中的流量很高时,游戏公司需要为带宽支付更多费用。在发布新游戏时,一旦玩家突然涌入会造成系统宕机,游戏公司会面临“痛苦的快乐”。云原生技术则解决了这个难题,遵循“即用即付”的支付策略,游戏公司仅需要他们使用的资源付费,降低了运营成本。 此外,云计算还加快了游戏研发进程,降低部署成本。制作一个游戏时,经常需要解决各种问题。比如维护用户数据库,确保用户正常登录;登录后,需要确保用户数据安全,又需要开发安全系统;为了保证系统时时刻刻运行,需要有监控;在监控和安全的背后还需要确保自身系统稳定性,可能还需要开发第二个系统,去做实时监控。 在这个过程中,因为需要开发太多系统,游戏开发商很少有时间聚焦于自身业务上,比如搭建游戏底层库、设计游戏玩法、人物建模、音效等等。其实有的工作可以被拆分开,去寻找外部供应商帮企业完成,使其更有精力去聚焦核心赚钱的业务。 假设游戏开发者想实现一个新的游戏玩法,但是之前没做过。此时,需要先去查找相关资料,看看有没有相关企业已经做了这个功能,然后通过各种科技网站、书籍、文献去了解并深入学习功能背后的技术逻辑。 单个功能学习起来可能不费劲,但是当你想要把这些功能组合在一个系统里时,就需要通过不断修复 bug,将产品功能不断完善,直到上线。上线后,再根据用户反馈,不断优化迭代,这种复杂度让我们身心俱疲,倾向于去找一些现成的、接入成本低的软件。接入软件的好处在于心智负担更低,可以更容易地做更多事。 Authing 可以帮助游戏开发商快速部署身份环节,加快游戏上线,与认证相关的开发工时减少 51%,将运营管理时间减少 200 个小时。 在安全方面,Authing 采用多租户加密、内部审计、强化的基础设施和运营控制、渗透试验、安全架构和团队和风控中台,打造值得客户信赖的服务;在伸缩方面,Authing 100% 云架构在 AWS 之上,拥有 Authing 专有创新;多租户发布平台快速方便地启动新的基础设施;在可靠性方面,Authing 已达到 99.999% 可用性,每次发布前 4k+ 测试用例,跨基础架构进行监视和警报,具有自动、无用户影响的故障切换。   关于 Authing Authing 身份云是国内唯一以开发者为中心的全场景 IDaaS 服务商,以身份及服务的云计算视角,基于多租户云原生架构,集成了所有主流身份认证协议,遵循不同国家和行业的合规性要求,在所有 SaaS 软件和数亿用户中建立高安全、高性能、高生产力的统一身份认证平台,支持所有企业和开发者便捷灵活接入,满足各类场景化需求。 2021 年,Authing 身份云获得了 2300 万美元 A 轮融资,由老虎环球基金领投,鼎晖 VGC(创新与成长基金)、声网 Agora、GGV 纪源资本和奇绩创坛跟投。 自 2019 年创立以来,凭借在身份领域的技术创新、产品优势与市场化方面等诸多突出表现,Authing 身份云获得了国内外众多权威机构的认可: Authing 先后被《中国网络安全产业白皮书(2018)》《2019 年网络安全产品报告(安全产品全景图)》、《中国网络安全行业全景图(第九版)》收录; 2019 年 9 月,Authing 以独家身份供应商入选中国信息通信研究院「卓信大数据第三批成员单位;科技部认定的「2021 国家高新技术企业」;中国信息通信研究院评选的「国内身份管理与访问控制领域创新企业」; 2021 年 8 月,Authing 入选福布斯亚洲「最值得关注公司」百强榜单,创始人谢扬入选福布斯亚洲 30 Under 30; 2022 年 4 月,Authing 正式加入 W3C(万维网联盟)组织, 将参与 WebRTC、DID、Web 应用及安全、身份验证、JSON-LD、数据集交换、MiniApps 等国际互联网标准制定。 2022 年 5 月,Authing 成功入选世界经济论坛(World Economic Forum)2022 年技术先锋榜单——全球 100 家最有前途的“技术先锋”(Tech Pioneer),中国大陆仅 15 家公司上榜。 2022 年 6 月 15 日,Authing 获得云原生产业联盟颁发的「2022 年度云原生新锐企业」; 目前,Authing 身份云已帮助 20,000+ 家企业和开发者构建标准化的用户身份体系,感谢可口可乐、元气森林、招商银行、中国石油、三星集团、CSDN 等客户选择并实施 Authing 解决方案。  
面向「开发者友好」设计 Authing 的开发者能力
Authing 的产品演进到了第三代,但无论到了第几代,核心的「以开发者为中心」都是贯穿全产品线的重要产品设计哲学。也就是说,不论将来 Authing 的产品如何演进,定位如何变化,「以开发者为中心」将像鱼骨一样,不论伸出多少分支,总有一个「主线」贯穿全程。 本文将解释以下问题: 【Why】何为开发者友好及对 Authing 意味着什么? 【How】如何设计好 Authing 的开发者友好能力? 【What】Authing 的开发者友好示例 01 开发者友好对 Authing 意味着什么? 开发者友好是 Authing 的战略、决心和诉求,是不能讨价还价的。 Authing By developers, for developers. Authing 是一群由开发者开发的面向开发者的产品,我们生于开发者,成长于开发者,未来也将回馈开发者。我非常高兴地听到有客户说「我看到你们赞助了 vue.js,如今采购了你们产品感到特别亲切」。   过去三年,Authing 所做的所有开发者向的内容营销没有打水漂,他们已经变成了一种潜在的情感注入,这种情感将会持续正向影响Authing的商业化增长。开发者友好是 Authing 的战略、决心和诉求,不论 Authing 的定位如何变化,这都不会变化。这也是我们为什么成立「API-First」部门实现全量能力接口化的原因。   02 何谓开发者友好以及基本原则 谈起开发者友好,可能很多人觉得抽象,如果具象一点,开发者友好具备以下几个基本原则: 保持简单 被动复杂 遵循常识 基于用户故事,耐心引导,改善学习/使用体验   保持简单 上周六,从北京到苏州的出差路上,我看完了一个系列的「相对论」视频,当我看完所有的解释再回过来头看「E=mc²」的时候,突然意识到「越是简单的模型才能解释越复杂的问题」。   我们再看编程语言,编程语言的核心只有三个概念:   1. 循环语句 for 2. 逻辑语句 if 3. 函数 function   而就是这样简单的三个概念,产生了我们现在数字世界的万物。而道家说,一生二,二生三,三生万物,也是同样的道理。   保持简单是「开发者友好」的第一原则,那么什么叫保持简单呢?   比如在 Guard 中使用 Authing JS SDK,下图左边是 Guard 5.x 的用法,右边是 Guard 4.x 的用法,很明显 Guard 5.x 更简单,此之谓保持简单,不给用户带来过多的心智负担和学习成本,以及所有的方法都非常语义化,易于理解。 ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   比如通过一个语义化的标签完成整个复杂登录组件的初始化,屏蔽所有细节: ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   比如使用一套 API、一套 SDK、一套参数完成微信全生命周期打通,实现在微信生态内的 One ID、One Data、One Service。 ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)     再比如,Authing 的微信网页 SDK,将在微信网页内做好认证这件事抽象到了极致: ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)     开发者完全不用操心背后的流程,只需要调用语义化的接口。   被动复杂 做面向开发者的产品是很复杂的,因为开发者会利用原子化的能力拼装出更多创新业务,开发者要完成的是整个业务,所以不希望集成某个 SDK 时产生更大工作量,在这种情况下,我们就要尽量降低开发者的劳动成本,降低劳动成本不仅是开发成本,还有学习成本,所以一开始也不要给开发者灌输更多知识体系,而要做到:在需要复杂的时候主动告知复杂性。   比如,Authing 的登录接口,在开启 MFA 后,会返回「1635」错误码,并告知开发者该错误代码需要如何处理,并附上相关文档链接;这样,用户不需要主动学习 MFA 的集成接口,在需要 MFA 调试时可立刻获取到处理方式,这属于一种复杂性的被动通知,也会给到开发者惊喜感。   口碑也在此刻产生。   这种将复杂性藏在背后的设计对于掌控开发者预期将非常有帮助,这也将加速客户对 Authing 的产品采纳。   遵循常识 开发者的知识架构相当复杂,变化也非常多,在设计面向开发者的命令行或 SDK 时要符合在当前上下文中开发者最熟悉的常识。 比如,Authing Guard 的初始化会遵循不同的前端框架: ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)     ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   比如,Authing 会和更多编程框架做深度集成,以达到框架内的最开发者友好: ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   基于用户故事,耐心引导,改善学习/使用体验 我们都知道,对于开发者工具,文档是比工具本身更重要的产品,如果没有好的文档,开发者根本不知道该如何下手。 开发者在阅读开发者文档时会经历以下旅程: ​ 编辑切换为居中   添加图片注释,不超过 140 字(可选)   只有当开发者发现我们提供的 API 满足他们需求时,他们才可能会去尝试使用它。当开发者产生尝试对接的想法时,我们的 Quickstart 决定了开发者是否能够快速上手。Quickstart 是我们与开发者最早的互动,这会给他们留下产品最初的开发者体验。产品的 Quickstart,是开发者是否持续使用我们的 API/SDK 的关键要素之一。   SDK/API 的接入,是 Authing 的生命线,像血液一样,一旦断流,就像人一样会死亡。   这种做好 Quickstart 的模式,是开发者产品达成 PLG(产品驱动增长)的最关键能力。但这需要多方面的支撑,比如需求、UI、参数设计、错误码等,只有搞清楚开发者为什么要用,才能更好地帮助开发者实现目标。   那么怎么设计好用的 API 帮助开发者提升接入体验呢?   答案是使用用户故事地图,以做一个登录系统为例,如下所示进行可视化表示: ​ 编辑切换为居中   添加图片注释,不超过 140 字(可选)   在没有 Authing 之前,用户需要至少 9 个流程且需要很多部门协作才能完成身份系统,拥有 Authing 之后,只需简化到三个大步骤即可完成目标,通过用户故事地图,就可以知道客户到底需要什么样的能力,以及我们该怎么简化用户的流程并形成文档: ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   在梳理清楚用户故事后,我们将明确了解开发者将带着哪些问题,并循序渐进引导开发者使用我们的工具。其中,齐全的文档很重要,一份齐全的文档至少包含以下模块: 快速开始 详细的开发文档 最佳实践 示例代码 错误代码及错误处理 Authing 在这方面做得挺不错的: ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   当然,改善体验的方法绝非只存在于文档、SDK 本身,还包含在使用过程中的体验,关于过程中的体验优化,可以参考第二条的「被动复杂」。 03 总结 开发者友好绝非一朝一夕,也绝非易事。开发者友好是一门综合了人性、技术、需求、用户体验的综合学问,切勿轻视,亦勿小看。唯有持有敬意,方可盈门。   2022-09-22 谢扬   关于 Authing Authing身份云是国内唯一以开发者为中心的全场景 IDaaS 服务商,以身份及服务的云计算视角,基于多租户云原生架构,集成了所有主流身份认证协议,遵循不同国家和行业的合规性要求,在所有 SaaS 软件和数亿用户中建立高安全、高性能、高生产力的统一身份认证平台,支持所有企业和开发者便捷灵活接入,满足各类场景化需求。   2021 年,Authing 身份云获得了 2300 万美元 A 轮融资,由老虎环球基金领投,鼎晖 VGC(创新与成长基金)、声网 Agora、GGV 纪源资本和奇绩创坛跟投。   自 2019 年创立以来,凭借在身份领域的技术创新、产品优势与市场化方面等诸多突出表现,Authing 身份云获得了国内外众多权威机构的认可:   Authing 先后被《中国网络安全产业白皮书(2018)》《2019 年网络安全产品报告(安全产品全景图)》、《中国网络安全行业全景图(第九版)》收录; ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   2019 年 9 月,Authing 以独家身份供应商入选中国信息通信研究院「卓信大数据第三批成员单位;科技部认定的「2021 国家高新技术企业」;中国信息通信研究院评选的「国内身份管理与访问控制领域创新企业」;   2021 年 8 月,Authing 入选福布斯亚洲「最值得关注公司」百强榜单,创始人谢扬入选福布斯亚洲 30 Under 30。 ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   2022 年 4 月,Authing 正式加入 W3C(万维网联盟)组织, 将参与 WebRTC、DID、Web 应用及安全、身份验证、JSON-LD、数据集交换、MiniApps 等国际互联网标准制定。 ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   2022 年 5 月,Authing 成功入选世界经济论坛(World Economic Forum)2022 年技术先锋榜单——全球 100 家最有前途的“技术先锋”(Tech Pioneer),中国大陆仅 15 家公司上榜。 ​ 编辑切换为全宽   添加图片注释,不超过 140 字(可选)   2022 年 6 月 15 日,Authing 获得云原生产业联盟颁发的「2022 年度云原生新锐企业」。 目前,Authing 身份云已帮助 20,000+ 家企业和开发者构建标准化的用户身份体系,感谢可口可乐、元气森林、招商银行、中国石油、三星集团、CSDN 等客户选择并实施 Authing 解决方案。 ​ 编辑切换为居中   添加图片注释,不超过 140 字(可选)    
Authing 官方
·
2022.09.23
·
1295 人阅读
还分不清摘要、加密?一文带你辨析密码学中的各种基本概念
你一定听到过这些词:加密、解密,也听过种种说法: 我要用 md5 把密码加密一下 将 base64 字符串进行解密 把 token 进行加密,验证时需要解密 01 编码 首先我们从编码开始。一生二,二生三,三生万物,编码就是「一」。试想一下如何用一个只能存储数字的设备来存储汉字呢?一个很自然的想法是将汉字转化成数字,然后再存起来: 例如:用 1 来表示「一」,用 2 来表示「二」,用 24 来表示「人」...... 将所有汉字映射成一个数字,然后将这些数字存储起来。 需要对编码方式进行事先约定,不然你一个编码,我一个编码,大家谁都听不懂谁说的是什么。 谁让电脑是美国人最先发明的,非常流行普及的编码方案也是人家提出的,让我们看看 ASCII 编码: 所以当你想要将「Good morning」存进电脑里,需要存「47 6f 6f 64 20 6d 6f 72 6e 69 6e 67」(16 进制,篇幅原因不再展开成为二进制)。 那么 base64 是什么?base64 也是一套编码规范,可以将二进制数据映射成可见字符(什么是不可见字符?像空格,换行符,制表符都是不可见的)。 应用场景呢,比如你想把一张图片塞到 JSON 格式的数据里面,就要对图片二进制流进行 base64 编码。 所以,以后,作为一个密码学专家,你就要说,我会用 base64 算法编码一下图片文件。 最后一个问题,对信息编码会产生信息损失吗?请读者自己思考一下。 02 摘要 试想有一个搅拌机,放进去原料,输出果汁。在计算机的世界里,也有这样一个摘要机,输入数据,会输出数据的摘要。常见的摘要算法有 sha1、md5。 可以从摘要值反推输入的信息吗?可以从果汁还原水果吗?熟鸡蛋可以反生吗?摘要的计算是单向的,只能通过输入的信息计算摘要而不能从摘要反推信息。 MD5 算法总会输出一个 128 位二进制数,那么我计算一个电影文件的摘要,我可以通过这个 128 二进制数来还原整个电影吗?显然不能。 摘要算法的另一个特性是对于任意的输入变动,得出的结果是截然不同的。见上图,123456 和 1234567 只差了一个数字,计算出来的摘要值是完全不同的。即使你偷偷剪掉一个电影的一秒钟,计算出的电影摘要值也是完全不同的。 所以这有什么用呢?假设你是电影导演,在电影上映前需要先将剪辑后的作品发给不同的公司进行审核校对,那么你可以偷偷剪掉第一秒,计算一个摘要值,然后发给一个公司;偷偷剪掉第二秒,计算一个摘要值,然后发给第二个公司,以此类推。这样一旦有人将你的作品泄露到网上,你就能够通过摘要值立刻知道是哪家公司泄露出去的!还记得《权力的游戏》最后一季上映前先泄露了四集吗?如果他们使用这种方法,追查起来就可以很方便了。 总结一下摘要的特性:不可逆,失之毫厘,谬以千里。 所以,以后,作为一个密码学专家,你就要说,我要用 MD5 对明文密码做一个摘要然后再存储到数据库。 03 加密 试想在现实世界里,如果加密传递信息呢?把信息写在纸上,然后把纸装进盒子里,再把盒子锁上,最后把盒子邮寄给接受者。前提是接收者必须有这把锁的钥匙。你需要另寻办法将钥匙给到他。 在计算机的世界里,对称加密算法的原理也是类似。你有一段信息,有一个密钥,你用一段文字作为密钥,对你的信息做数学运算,得到一个结果,然后你把结果发给你的接收方,他用同样的文字作为密钥,对加密结果做数学运算,得到信息的原文。 常见的对称加密方法 AES、DES,本质上都是使用一段文字对原始信息做数学运算,然后将结果发送给接收方。 加密的意义在于,及时信息在传递过程中被黑客截获,他也不知道双方在说什么。 那么对称加密的密钥如何传递呢?另寻办法的方法是什么?非对称加密呼之欲出。非对称加密算法,用于加密和解密的密钥是不同的。也就是说,一段文字用于加密信息,另一段文字用于解密加密的结果。 04 公钥和私钥 公钥 在数学上,公钥就是两个数字(e,n)。e 一般取 65537,n = p * q(p 、q 为质数)。公钥用于加密。 私钥 在数学上,私钥就是两个数字(d,n)。d 是 e 对于 ø(n)(欧拉函数)的逆元。私钥用于解密。 公钥与私钥的关系 在数学上没有区别,都是一对数字,取决于将哪一组数字公开。 公钥加密的内容要使用私钥解密;私钥加密的内容要使用公钥解密。 私钥要自己保护好,不得泄露;公钥可以公开在互联网上,任何人都可以用它来加密信息,当然加密内容只有私钥能够解出来。 下面是一次 RSA 加密信息的过程: Q: 可不可以用私钥加密数据呢? A: 可以! Q: 那用公钥解密数据? A: 是的! Q: 公钥暴露在网络上,任何人都能解密数据,那加密还有什么意义? A: 继续往下看! 拓展:上图中要计算每个字符编码的 e 次幂,需要算几次? 05 签名 先计算信息的摘要值,用私钥对摘要值进行加密,生成的结果叫签名值,签名算法有 RS256。顾名思义,是 RSA + HS256 的组合写法。签名需要分两步走: 计算信息的摘要值 用私钥加密摘要值,得到签名 06 验签 利用公钥对签名信息进行验证。拿到一段信息和它的签名值,需要先本地计算信息摘要值,用公钥解密签名值,和计算的信息摘要值进行比对。 还记得公钥和私钥的区别吗?如果我们用私钥对数据加密,任何人都可以用公钥解密加密结果(公钥是公开的),如果解出来的内容是有意义的,那么数据的来源一定是私钥的持有者,如果解出来的内容是乱码,那么数据的来源就不是私钥的持有者。 那么之前对称加密算法的密钥传递问题也解决了,接收方将公钥给发送方,发送方用公钥加密一个密钥,接收方用私钥解密加密后的内容,得到密钥原文。如此一来,钥匙就安全地交给接收方了。 总结一下,如果你想对一段信息签名,先算它的摘要,然后用私钥加密摘要值,这样所有人都可以使用公钥验证它的正确性;如果你想加密传输一段信息,用公钥加密这段信息,这样信息接受者可以用私钥解密加密后的结果。 当你说加密的时候,你实际想说:编码、摘要、加密;当你说解密的时候,你实际想说:编码、解密、验签。 关于 Authing Authing 是国内首款以开发者为中心的全场景身份云产品,为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品,Authing 在产品创建初期,目标就是服务亿级的企业和个人开发者客户,轻量级、易部署、低消耗、技术栈成熟,运维易的云原生技术产品架构,成为了 Authing 的首选。 点击此处了解更多行业身份管理 「解决方案」以及「最佳实践案例」
Online
Contact us online
To create a perfect identity system
WeCom
authing
Add Wecom to receive industry information
CEO-Mail
ceo@authing.cn
Direct feedback to the CEO
Free Trial
Online
Phone