Authing 文档文档
快速开始
概念
使用指南
开发集成 arrow
  • V2 文档
  • V3 文档
元数据
应用集成
身份自动化
加入 APN
开发集成
多租户(内测版)
控制台文档
多租户控制台
租户控制台
Saas 应用 Demo
快速开始
概念
使用指南
开发集成 arrow
  • V2 文档
  • V3 文档
元数据
应用集成
身份自动化
加入 APN
开发集成
多租户(内测版)
控制台文档
多租户控制台
租户控制台
Saas 应用 Demo
旧版
使用指南
  • 快速开始

  • 对用户进行认证

  • 对用户进行权限管理

  • 用户自助服务

  • 授权

  • 自适应 MFA

  • 管理用户账号

  • 管理用户目录

  • 同步中心

  • 应用

    • 自建应用

      • 创建自建应用
      • 快速开始
      • 应用配置
      • 协议配置

      • 登录控制
      • 访问授权
      • 品牌化
      • 安全管理
      • 高级配置
      • 租户配置
    • 单点登录 SSO

  • 成为联邦认证身份源

  • 连接外部身份源(IdP)

  • 微信生态全场景能力

  • 迁移用户到 Authing

  • 管理组织机构

  • 安全设置

  • 品牌化

  • 自动化

  • 审计日志

  • 设置

  • Authing 令牌
  • 私有化部署方案

  • 常见问题 FAQ

  1. 使用指南
  2. /
  3. 应用
  4. /
  5. 自建应用
  6. /
  7. 安全管理

¶ 安全管理​

​

更新时间: 2025-02-18 09:00:47
编辑

路径:应用->自建应用->应用详情->安全管理​

本章节介绍了和 cookie 过期时间、注册安全、登录安全、APP 扫码登录 Web 安全、多因素认证等安全相关配置项。

  • 应用中 安全管理 选项卡默认是关闭的。此时,应用的安全管理相关配置将由全局安全管理配置控制。要对单一应用进行单独的安全性配置,可以在 高级配置->自定义配置 中开启 自定义本应用的安全规则 开关。

  • 在开启 自定义本应用的安全规则 开关的情况下,当前应用的安全规则将会继承当前全局安全管理(安全设置)中的配置。开启之后,管理员对此自建应用的安全规则配置将会独立于全局安全规则中的配置(包括通用安全、密码安全 及 多因素认证)。

开启 自定义本应用的安全规则 开关后,你可以对本应用进行以下相关功能的配置:

¶ 基础安全

用户可在此模块指定登录状态的有效时间(即 cookie 过期时间):

选项说明
浏览器会话当前浏览器关闭后立即过期,下次打开需重新登录。
自定义过期时间可在右侧输入框指定过期时间,建议 1209600 秒(14 天),过期后用户需要重新登录。
注意:对于应用面板及已加入应用面板的应用,将使用全局 安全管理 中设置的 cookie 过期时间。

¶ 注册安全

开关说明
频繁注册限制管理员可以通过指定 限定周期时间 和 周期内限定频次 限制同一个 IP 在多少秒内不能超过多少次注册。
禁止注册开启该开关后,普通用户将无法通过登录框或者 API 注册,只有管理员可以手动创建账号。

¶ 登录防暴破

Authing 为 账号锁定 和 图形验证码 两种场景提供登录安全策略。

¶ 账号锁定

开关说明
登录密码错误限制当用户登录输入密码错误时,会按照登录安全策略规则触发相对应的策略。开启 登录密码错误限制 开关,可以通过指定 限定周期时间 和周期内限定频次 限制同一账号在多少秒内不能超过多少次密码输入错误。若在规定时间内超过次数后,该用户再次登录时,需要输入图形验证码。
未验证邮箱登录时发送认证邮件开启后,如果用户使用未经过验证的邮箱登录,Authing 将向该邮箱发送一封验证邮件,用户需要前往此邮箱点击认证链接后方可完成登录。

¶ 图形验证码

除了上述 账号锁定 场景的两个策略,图形验证码 还可以定义 登录失败次数限制:当用户登录信息输入错误时,会按照登录安全策略规则触发相对应的策略。开启 登录失败次数限制 开关,可以通过指定 限定周期时间 和周期内限定频次 限制同一账号在多少秒内不能超过多少次失败登录。若在规定时间内超过次数后,该用户再次登录时,需要输入图形验证码。

¶ APP 扫码登录 Web 安全

Authing 一直以来都致力于带给开发者高度自定义的开发体验,所以我们提供以下自定义配置项,开发者可以根据自己业务的需要,在安全性和便捷性之间权衡。

字段 / 开关说明
二维码有效时间默认 120s。
ticket 有效时间默认 300s。
Web 轮询接口返回完整用户信息默认不返回。由于查询二维码状态接口是没有权限校验的,这意味着直接在此接口返回用户信息(包含登录凭证 token)是存在安全隐患的,所以我们推荐开发者遵循最佳实践:查询二维码状态接口只返回用户昵称和头像,使用 ticket 换取用户信息。
允许在浏览器使用 ticket 换取用户信息默认允许,需要在服务器端调用,即需要使用用户池密钥初始化之后。点击了解如何初始化后端 SDK。一个典型的使用场景是:用户扫码同意授权、开发者得到 ticket 之后,发送到自己的后端,使用后端 SDK 换取用户信息,之后重定向到已登录页面,同时将用户信息写入 localStroage。

¶ 多因素认证

多因素认证(Multi Factor Authentication,简称 MFA)是一种非常简单的安全实践方法,能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后,用户登录时,除了需要提供用户名和密码外(第一次身份验证),还需要进行第二次身份验证,多因素认证结合起来将为你的帐号和资源提供更高的安全保护。你可以在此了解 什么是多因素认证。

你可以如下图所示为你的应用开启 MFA:

更多详情,请参阅 多因素认证综述。

上一篇: 品牌化 下一篇: 高级配置
  • 基础安全
  • 注册安全
  • 登录防暴破
  • APP 扫码登录 Web 安全
  • 多因素认证

用户身份管理

集成第三方登录
手机号闪验 (opens new window)
通用登录表单组件
自定义认证流程

企业内部管理

单点登录
多因素认证
权限管理

开发者

开发文档
框架集成
博客 (opens new window)
GitHub (opens new window)
社区用户中心 (opens new window)

公司

400 888 2106
sales@authing.cn
北京市朝阳区北辰世纪中心 B 座 16 层(总)
成都市高新区天府五街 200 号 1 号楼 B 区 4 楼 406 室(分)

京ICP备19051205号

beian京公网安备 11010802035968号

© 北京蒸汽记忆科技有限公司