如何在当前的现代Web应用程序中处理重新认证

时间:2015-07-21 16:21:59

标签: security web-applications

在我们的Web应用程序中,当用户登录时,如果会话空闲时间超过15分钟,则用户必须再次输入登录凭据才能继续。

由于我不使用其他网络应用程序,我想就此问题提出以下问题:

当前的Web应用程序中是否存在这种重新认证?

在几分钟不活动之后会发生什么?

从安全角度来看,只询问密码(而不是用户名)是否常见且合理?

如果您未能重新进行身份验证(3次),仅结束会话或锁定整个帐户更常见吗?

非常感谢

3 个答案:

答案 0 :(得分:1)

会话时间通常为15到20分钟,具体取决于它在IIS中设置的内容。这是用户注销的合理空闲时间。如果您需要让应用程序闲置并且仍然可以使用的时间比您想要查看令牌身份验证(无状态)和使用刷新令牌的时间更长。

答案 1 :(得分:1)

再认证

重新认证是在事先检查之后对个人身份进行二次确认的过程。通常,用户必须强制执行其他登录,以确保访问受保护资源的用户与最初在会话开始时进行身份验证的人员相同。强制重新身份验证可为安全域中的敏感资源提供额外保护。

身份验证基于令牌。 Rest API也是这样设计的,有时可以执行重新身份验证。

当然,使用会话。

答案 2 :(得分:1)

当前的网络应用程序中是否存在这种重新认证? 是的。大多数可以访问有价值数据的Web应用程序都实现了重新认证机制,以防止信息泄露。

在多长时间不活动之后呢? 取决于您正在保护的数据的应用程序和敏感度。正常的时间是15到20分钟(在银行网络应用程序中甚至更少)

从安全角度来看,只询问密码(而不是用户名)是否常见且合理? “登录”是指正确< em>用户名和密码的组合。大多数网络应用会再次询问您的用户名。除非您启用了“记住我的用户名”选项。这是因为恶意用户可能会在您的会话超时后访问Web应用程序后获取您的用户名。如果他还设法接收您的电子邮件(通常与您的用户名相关联),他可以轻松地重置您的密码并对您的帐户做任何他想做的事情

如果您未能重新进行身份验证(3次),仅更新会话或锁定整个帐户更常见吗? 这也取决于应用程序。

数据非常有价值 - &gt;锁定帐户

不是那么多 - &gt;结束会话并强制重新认证(再尝试3次)

两全其美 - &gt;超时用户名固定的持续时间(范围从半小时到几个小时),然后强制重新认证。