用户中心 Idaas模块设计
Identity as a Service ,简称 IDaaS ,是一个基于身份的服务,它是一个认证、认可、访问、管理、统计、维护、管理等服务的集合。
IDaaS ⾃适应⼆次认证、弱密码监测、账号⽣命周期管理、异常账号锁定等众多账号防护能⼒。
提供 IP ⿊⽩名单防护、异常登录锁定、弱密码检测、图⽚验证码、僵⼫账号管理等能⼒,全⾯提⾼身份认证安全⽔位。与此同时,IDaaS 还提供了可视化的图表界⾯,直观展示安全⻛险。
提⾼账户登录的安全性。IDaaS ⽀持 ⾃适应(设备、IP、静默(同一手机短时间多次)) 和 强制 两种⼆次认证类型。
对于自有账号体系的应用,都需要对接账号风控,平台建议用户接入淘系账号风控体系,使用淘系账号的应用将默认享有平台提供的账号风控能力,如使用自有账号体系的应用,应具备平台认可的应用身份服务(简称:IDAAS)能力,并开启二次认证等安全策略并回传日志到平台。
注意:无论是接入淘宝账户风控体系,还是自研对接御城河,都需要调整用户中心认证流程。
在修改密码、绑定手机、绑定邮箱、绑定身份证等认证流程时,需要调整认证流程,必须要时需添加二次认证校验。
- 购买阿⾥云应⽤身份服务(IDaaS)
- 对接API,同步账户数据到淘系账号,由 IDaaS 进⾏统⼀认证。
- idaas 数据将自动回流计算,无需isv/自研再对接御城河回流。
- 对接API,应用需对接御城河 idaas 和二次认证接口回流数据。
- 账户涉及二次认证新增属性(短信或MFA)
- 二次认证设置页
- 是否启用、启用模式、启用节点(登录、修改密码、手机、邮箱、身份证?)、启用(账户或组织)范围、认证类型(淘宝、自建)
- 二次认证方式(默认手机短信)
- 短信模板
- 验证码限制逻辑
- 验证码发送频率限制
- 同一验证码可以尝试 3 次输入,3 次均失败后,验证码失效。用户需要获取新验证码。
- 验证码有效期
- 二次认证弹窗页
- 当前认证手机号(中间遮掩)
- 获取验证码按钮(倒计时,防止重复点击)
- 验证码输入框
- 提交、取消按钮
- 后端各触发二次认证校验节点,二次认证校验统一接口
- 账户同步
- 选择所需同步账户范围 页
- 账户增删改等阶段对接阿里云 IDaaS API
- 上报日志
注意:
如果是自建需要完成除 5 阶段外全部流程,如果对接阿里云 IDaaS ,只需完成 3、4、5 阶段、并对接API,其它由阿里云 IDaaS 控制。
对接 阿⾥云应⽤身份服务 IDaaS ,对于我们应用的客户来说,实际上是透明的,他们并不会感知到后端验证的变更。
1、在 IDaaS 创建⼀个应⽤,因为需要使⽤应⽤的 APP Key/Secret。 2、对接 IDaaS 同步相关接⼝,将您的应⽤的账户数据同步到 IDaaS。 3、对接 IDaaS 认证相关接⼝,将您的应⽤的认证请求切换到 IDaaS。
- 推送组织机构
- 推送账户
- 修改账户
- 删除账户
- 账户密码认证
- 获取绑定OTP⼆维码
- 绑定OTP
- 清除OTP绑定状态
- ⽣成短信随机码
- 校验随机码
- 导⼊常⽤设备和常⽤IP
- 图⽚验证码接⼝
- 解锁账户接⼝
- 启⽤禁⽤⽤户接⼝
- 账户禁⽤
- IdaaS日志回传
- 二次认证日志回传
