用户安全身份认证源码_ldap统一用户认证

一、用户认证的需求背景

（1）身份风险：非法“用户”和“终端”采用非法方式接入网络；

（2）外来人员可轻易接入组织内网，窃取内部核心资料，甚至破坏内部网络；

（3）不安全终端接入网络，给内网环境带来极大的威胁，如导致病毒内网疯狂传播。

如何唯一确定一个用户？？？？？？

用户认证简单定义：需要知道这个IP当前是谁在使用

（1）类型一：身份认证因素是“你知道什么”。这些内容示例包括密码、个人标识码（PIN）或密码短语。

（2）类型二：身份认证因素是“‘你拥有什么”。用户拥有能够帮助他们提供身份认证的装备，示例包括智能卡、令牌、记忆卡和USB驱动器。

（3）类型三：身份认证因素是“你是什么或你做什么”。指的是某个身体部分或人的生物行为特征。“你是什么”的示例包括指纹语音波纹、视网膜样本、虹膜样本、脸部形状、掌纹和手型等。“你做什么”的示例包括签名和击键力度，也称为生物行为特征。

2、常见的认证类型–密码认证：

（1）就是每次请求时都提供用户的username和password；

（2）最简单的认证方式，利用http协议提供用户名密码即可。

（3）上网行为管理的密码认证，就是典型的“密码认证”。

3、常见的认证类型–令牌：

（1）令牌是一种密码生成设备，用户可以随身携带。

（2）常用令牌包含一个显示器，显示6-8位的号码。

（3）现在也有软件版的令牌，例如Goold的“Authenticator”，“Microsoft Authenticatour”。

（4）举例：SSL VPN支持动态令牌认证。

4、常见认证类型–生物识别：

（1）生物生理识别方法：通常是指生理或行为上的特征，包括指纹、面部扫描、视网膜虹膜扫描、掌纹特征、语音模式等。

（2）生物行为识别行为：包括动态签名和击键模式。

5、常见的认证类型–多因素认证：

（1）多因素认证是使用两个或多个因素进行认证。（会降低用户体验）

（2）例如：SSL VPN支持密码认证+令牌认证。

6、常见的认证类型–设备认证：

（1）用户只能通过公司拥有的系统上网或访问业务系统

例如：要求计算机要加入域，进一步要求加入域的电脑能访问某些业务系统。AC可以支持结合AD域做单点登录。

（2）员工自己携带的设备，也应该进行策略控制

例如：自己携带的设备，需要符合BYOD安全策略，进行控制。EMM的Easywork方案。

单点登录简介：

单点登录–LDAP：

单个组织经常使用集中式的访问控制系统。例如：目录服务是一个集中式数据库，里面包含了主客体信息。许多目录服务建立在“轻量级目录访问协议（LDAP）”的基础上。
可以把LDAP目录看做组织结构。
- 举例：AD域单点登录适用于客户内网已有AD域统一管理内网用户，部署AC后，希望AC和AD域结合实现平滑认证。

单点登录–LDAP&Keros：

Kerberos给用户提供的单点登录的同时还能包含登录信息。
- 举例：AC的集成Windows身份验证单点登录方式。AC加入域，成为域中资源。当已登录域的PC打开网页时，会被AC拦截并要求访问AC提供的资源，此时出发Kerberos认证，AC获取终端提交的票据，从而实现集成Windows身份验证。

单点登录–XML：

联合身份管理是多个组织加入一个组，他们同意通过一个方法共享彼此的身份。每个组织的用户在各自的组织登录一次且在他们的凭证和身份匹配后，可以用这个身份访问这个姐中的任何资源。
“可扩展标记语言( XML )”：XM 实现了对数据本身的描述，所包含的标签可以将数据描述为任何所需的样子。很多供应商的数据库可以将数据输出为 XML 格式，或将 XML 格式输出数据，从而使 XML 成为用于信息交流的共同语言。
举例：Aruba 无线控制器提供了 XML 单点登录接口。

OAuth-开放授权：

OAuth （开放授权）是一个开放的授权标准，允许用户让第三方应用访问该用户在某一 web 服务上存储的私密的资源（如照片、视频、联系人列表），而无需将用户名和密码提供给第三方应用。
OAuth 允许用户提供一个令牌（ token ），而不是用户名和密码来访问他们存放在特定服务提供者的数据。
每一个令牌授权一个特定的第三方系统（例如：视频编组网站）在特定的时段（例如：接下来的2小时内）内访问特定的资源（例如：仅仅是某一相册中的视频）。
这样，OAuth 让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息，而非所有内容。

OAuth 2.0的流程：