互联网初期,web服务器基本上只是浏览文档。既然是浏览,那么作为服务器,就不需要记录用户在一定时间内浏览了哪些文档。每个请求都是一个新的http协议,即请求加响应。在早期,我们使用网页。
Web2应用时,大多采用账号+密码的认证方式进行访问。
一、Web系统身份认证的特点
1、Http基础
Auth:最古老的安全认证方法之一。这个方法就是简单地用用户名和密码访问API。因为信息会暴露,现在用的越来越少了。现在,使用更安全和保密的认证方法。可能有些老平台还在用。
如果弹出一个框,你可以填写你的用户名和密码。这是Tomcat自己的HTTPBasic认证。
这是您访问应用程序的凭据。我写了那个xxxXXX字符串,说明这是一个密文。这是什么密文?这意味着用户名和密码由Base64加密。所以你现在是不是也有同感——这个tm太容易被偷了,所以现在新的应用几乎不用这个方法了。虽然简单,但是安全级别太低。
2.OAuth2:是一个开放的标准,允许用户让第三方应用访问用户存储在网站上的私有资源,而无需向第三方提供用户名和密码。比如我们熟悉的通过qq/微信/微博登录第三方平台。OAuth
1.0版本发布后出现了很多安全漏洞,所以OAuth1.0在OAuth2.0中被彻底废除,它注重客户端开发者的简单性,要么通过资源拥有者和HTTP服务提供者之间被批准的交互来代表用户,要么允许第三方应用代表用户获得访问权限。
为了方便,很多网站都设置了相同的密码(这样很不安全)。即使在web端,这种验证方式也是慢慢支持的。为了方便,我们很多应用都是基于微信/
在手机号一键验证等验证模式下,几乎不再使用密码。随着生物识别技术的发展,现在很多设备都在使用刷脸、指纹验证等认证方式,验证码也在不断更新换代。
Web系统服务器测试:
二、Web2系统身份认证的特点
Web2认证正朝着安全、便捷的无密码认证方向发展。
免密码认证比账号+密码的方式安全多了。由于账号+密码方式存在弱密码问题和大量泄露数据,黑客可以利用大数据+
撞库等方式破解。如果你有良好的安全习惯,现在的大部分移动应用都很难被窃取。一起使用1个密码。
像(一个应用一个密码)这样的应用,对于需要设置密码的应用来说是相对安全的。
纵观金融应用的认证发展,最早的网银非常不方便,需要使用口令卡才能转账。后来发展到使用usbkey。
的验证模式。对于个人用户来说,手机网银现在和其他非金融应用的体验差不多,手机号+刷脸认证,刷脸/
验证码转账之类的,非常方便。这也有一定的安全隐患。如果手机被黑,手机里的银行账户就有被盗的风险。
对于企业用户,目前延续usbkey(数字证书)的验证方式。和银行间的通信一样,大多采用点对点加密。Web2
在中国,数据和资产都在集中的平台上,实际用户很难有自主权。
很多第一次使用Web3应用的用户会问,为什么这个应用这么难用?最直观的就是大部分都是基于web的访问,用户认证普遍不够友好。Web3
去中心化的本质从密码学的角度给了用户自主权,你的钥匙,你的硬币!这就是为什么Web3
应用的认证方式是用户自主签名的原因。因为这些信息只有用户自己拥有。
三、Web3系统身份认证的特点
1.自己改密钥:我们常用的Web2应用可以每隔一段时间重置一次密码,保证安全,避免密码丢失导致的信息泄露。
如果发现账号被盗,也可以及时修改密码,或者通过申诉拿回账号。在这种情况下,我们的账户仍然可以使用,与我们的账户相关的其他内容、数据和应用不需要重新授权或链接。
对于去中心化钱包,一旦丢失助记符/私钥,钱包就无法再次使用。因为只要有人知道这个助记符/
私钥,可以移动里面的资产,可以验证各种应用。
在Web2上
一方面可以通过投诉追回被盗账号,另一方面也很容易进行各种禁用操作。只要有足够的证据,就可以把可能的风险集中起来。比如呼吁不同平台,添加黑名单等等。
在Web3上,
目前,还没有有效的防止账户被盗的措施。一旦私钥丢失,此帐户就不再可用。然而,随着越来越多的应用程序关注身份行为,我们的许多在线行为都与帐户地址有关。一个用了很久的地址,可能是一笔可观的财富。抛弃它将是一大遗憾。
我们有没有办法像改Web2的密码一样,不用改账号(公钥地址)就能改Web3的钱包助记符/私钥?
2.多账号分离和身份聚合:目前国内针对个人用户的多账号分离/身份聚合应用场景较多。
比如我们在使用自行车共享的时候,有时候会用支付宝扫码解锁,有时候会用微信扫码解锁,往往不注意自己,但总能解锁。各种分享的商品,只要上面有码,我们都会下意识的直接用微信。
/支付宝来扫,租充电宝,电车,雨伞等等。
这些应用程序使用起来非常方便。我们不需要注册任何账号,也不需要提供大量的个人信息。我们只需要授权他们一次。
在这些场景中,我们在租用各种设备时,实际上使用的是这些应用的账号,这个账号是通过身份授权生成的。
我们的很多身份信息和行为都聚合在一个叫做“芝麻信用”/“微信支付”的系统里,这是我们在互联网世界里聚合的身份。它是一个信用评估系统,包含各种身份数据和信用评级。通过与它集成,不同的应用程序可以申请授权,读取我们的身份和创建临时帐户。
只要我们的信用能满足这些应用的设计要求,我们就能顺利使用。
对于企业应用程序,一名员工经常使用几十个不同的系统。如果每个系统都有独立的账号,就很不方便记忆。大部分员工习惯用同一个密码,很不安全。
为了解决这个问题,有专门针对企业级身份管理的解决方案。
我是.可以提供方便安全的单点登录和统一账号密码系统,既解决了安全问题,也让员工使用系统更加方便。
Web3中也需要类似上述的经验。我们希望玩游戏,体验社交应用,参加DeFi。
挖矿的时候,每个人都有不同的账号,但是都可以用一种便捷的方式进行统一安全的管理。
既能隔离不同账户的资产,又能沟通不同账户的身份。我们可以决定向外界展示什么身份,我们可以控制哪些身份是显性的,哪些是隐形的,以及它们之间的行为关系。
3.灵活的密钥管理
大部分网民对密码管理没有安全意识,经常用一套密码打遍天下。使用最多的安全措施是不使用,比如不使用网银。
移动应用认证技术的发展和演进,一方面是为了平台应用拥有更大的网络效用,另一方面也有效提高了用户的安全性和便利性。比如验证码+刷脸+
风控等方法,一般的密码泄露很难造成严重影响。
和Web3
应用把身份主权还给用户,每个人在如何管理密钥的知识和技能上有很大的差异。甚至一些老韭菜也经常犯因为电脑被黑而丢失私钥、被不小心钓鱼或者热钱包被偷的错误。
使用硬件钱包、冷钱包、多签名钱包的门槛更高。一般对于没有技术背景的用户来说,很难真正掌握这些钱包的安全使用,一不小心就可能丢失钥匙。
Web3是一种不友好和不安全的密钥管理方法,有效地阻止了许多人参与Web3应用。在Web2中,我们可以使用密码,google。
密码管理等程序有助于管理密钥。但是,助记符和私钥的使用大多强调离线备份,或者存储在硬件钱包中,或者使用更安全的多重签名技术。这些对于专业用户和
对于Web3用户来说有一些困难。
我们能像Web2一样保存密钥吗?没有复制,没有硬件。是否安全,能否快速恢复?
不同的使用需求有不同的密钥管理策略,大型资产可以使用专业的安全方案。社交应用使用了一些便捷的方法,这种角色授权的分离也让我们在使用不同的应用时不用太担心安全和隐私问题。
第四,Web系统身份验证分散了三个身份级别
在Web3中,钱包、账户、身份的概念有些模糊,没有明确的区分。往往钱包就是一个账号,一个账号就当作一个身份。
实际身份是一个集合,账号是我们应用的具体载体,是身份的延伸。加密钱包是我们账户的一种载体和验证方式。
分散认同可以分为三个层次:显性认同、代理认同和主权认同。
评论前必须登录!
注册