-
权限体系之-10-passport 登录提升安全之 MFA Multi-Factor Authentication(多因素认证)
MFA 是什么? MFA 全称是 Multi-Factor Authentication(多因素认证)。 简单理解,它就是在登录或敏感操作时,不仅要求你输入密码,还需要提供 至少另一种独立的身份验证方式,从而增强账户安全性。 一、核心概念 MFA 的核心是“多因素”,通常分为三类: 因素类别 示例 核心作用 ...2025-11-20 06:12:33 | plateform
-
权限体系之-10-passport 登录提升安全之二次验证(2FA)
一、什么是 2FA / MFA?为什么说是“质变级提升” 普通登录只有一个因子: 你知道什么 —— 密码 2FA 增加一层独立因子: 你拥有什么 / 你是什么 常见组合: 密码 + 短信验证码 密码 + 邮箱验证码 密码 + Google Authenticator 密码 + 指纹 / FaceID / 硬件令牌 攻击场景对比: ...2025-11-20 06:12:33 | plateform
-
权限体系之-08-passport 登录登出提升安全之错误次数过多之后冻结账号
系统级用户维度登录失败冻结机制设计方案(管理端为主) 本方案与 IP 维度限制不同,属于【用户账号维度】的安全控制: 当某一用户连续登录失败超过 3 次时,立即冻结该账号,30 分钟内禁止任何登录尝试。 同时支持“通过邮箱找回密码自动解冻”的反恶意冻结机制,并全程审计留痕。 一、核心规则定义 1. 冻结触发规则 同一用户账号: 连续...2025-11-20 06:12:33 | plateform
-
权限体系之-08-passport 系统级请求接口 IP 频率限制管理(登录+全局接口限流)
系统级请求接口 IP 频率限制管理(登录+全局接口限流) 以下是针对 “系统级请求接口 IP 频率限制管理(登录+全局接口限流)” 的完整设计方案,满足你所有要求(不依赖 Redis、纯 DB 实现、业界合理阈值、多维度限流、管理员可管理、用户不可见、风格严格符合现有规范)。 一、限流策略(业界公认合理阈值,初期写死) 维度 阈值(普通用户) ...2025-11-20 06:12:33 | plateform
-
权限体系之-07-passport 登录登出提升安全之登录滑块
Passport 登录滑块验证安全方案(产品级设计) 好的——把“滑块挑战(challenge)我把设计里所有相关点都改成基于关系库实现,并补充了会用到的并发/幂等/过期清理策略、性能注意项与实现建议(都不含具体代码)。 下面是完整、可落地的设计更新。 要点总结(一句话) 滑块挑战与校验数据全部写入 MySQL(新增 passport_slider_challenge 表),后端...2025-11-20 06:12:33 | plateform
-
权限体系之-06-passport 登录登出提升安全的方式有哪些?
推荐的优先级实施顺序(性价比最高): 强制2FA(尤其是TOTP)—— 单项提升90%安全性 强密码哈希(Argon2id)+ 检查泄露库 登录失败锁定 + 异常时CAPTCHA 会话安全(HttpOnly/Secure/SameSite + 登录后失效旧会话) 登录通知 + 关键操作重新认证 ...2025-11-20 06:12:33 | plateform
-
权限体系之-05-passport 用户 token 管理
系统级用户 Token 管理设计方案(管理员管理端为主) 目标:在现有登录体系中增加 token 管理功能,单独记录用户 token,支持管理员查看、维护 token 黑名单,保证安全性与可审计性。 一、核心能力定义 1. Token 生命周期管理 用户登录成功后,系统生成 token 返回给前端 Token 需存储在数据库表中,以便管理与黑名单校验 Tok...2025-11-20 06:12:33 | plateform
-
权限体系之-05-passport 登录登出 session 管理
系统级登录 / 登出 Session 管理设计方案 目标:构建一套统一、可控、可审计的用户 Session 生命周期管理体系,覆盖登录态创建、续期、失效、强制下线、设备管理等能力,同时清晰拆分管理员与用户两个视角,保障系统安全与用户体验。 一、建设目标 统一管理所有用户登录 Session 可视化展示当前在线状态与历史会话 支持强制下线、多端控制与风险阻断 ...2025-11-20 06:12:33 | plateform
Echo Blog
江湖无名 安心练剑