统一身份认证账号管理及集成

原文

AD系统

CRM系统 LDAP

应用信息系统账号的集成：

权限分层imToken官网下载，认识并理解用户访问权限的层级是认证体系建设的关键之一。

存量系统：账号映射

应用中存在的问题：

授权和委托：

单点登录：在多个系统中，用户只需要登录一次，各个系统就可以感知到用户已经登录

用户登录的逻辑：

多系统登录的问题和解决

解决方案：

跨域问题

服务端将写到客户端后，客户端对进行解析token 权限管理·(中国)官方网站，将Token解析出来，此后请求都把这个Token带上就行了多个域名共享，在写到客户端的时候设置的。将Token保存在中（不依赖就没有跨域的问题了）

CAS （ ）重定向到sso认证中心，并将自己的地址作为参数

双因子认证：

双因子认证（2FA）是指结合密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。

目前常用的双因子认证有：

1.验证另一个账号的所有权：邮件、短信、微信

典型的实现方式是认为同一个用户拥有另一个系统的账号，验证另一账号即可。例：用户注册QQ时，需提供手机号码。当用户操作时，系统探测到用户操作异常或本次涉及敏感操作，例提现、转账等，系统就会发送随机验证码到预留手机号，以确认真实身份。但这种方法对于服务提供者来说会产生额外费用，邮件及短信运营商都会按条计费。

2.验证当前用户的生物特征: 人脸识别、指纹识别、声音识别

随着人工智能的兴起，生物特征识别也能简单实现，可以使用人脸、指纹、声音等生物特征进行识别。但该方法容易引起用户反感，大多数用户都不愿意让应用轻易使用自己的生物特征等敏感信息。

3.验证以前初始化的一个动态令牌的掌握情况：、QQ令牌

和QQ令牌使用的是同一种形式，即在初始化时将随机密码传递给用户，并且在服务端储存一份。在需要验证时，客户端根据密码+时间+特定的加密算法单向运算出一个校验码，用户输入该校验码，服务端通过相同的密码+时间+加密算法也进行相同的计算，比较两者是否相同，即可实现二次验证。