身份认证

极客时间《安全攻防技能 30 讲》学习笔记 03

04 | 身份认证：除了账号密码，我们还能怎么做身份认证？

一般说到身份认证，比较容易想到的是对外认证，特别是现在相对人们的“统一登录认证”，但是对内认证可能考虑的比较少，后者也确实更难一些。

之前已经看过这篇专栏，最近刚好要写一个关于统一登录认证的实施方案，所以又回来重读。

基于 CAS 框架的单点登录，我觉的专栏讲的很清楚，但是我有一点好奇，JWT 是否过于轻量级（过时）？现在似乎 OAuth 2.0 比较热门，我也顺路去隔壁的 《OAuth 2.0 实战课》看了一眼。

一个内部云平台上的，一个“大”系统内若干子系统的统一登录认证，应该如何处理？目前是打算同时支持 JWT 和 OAuth 两种接入方式，不知道是否可以。

18 | 安全标准和框架：怎样依“葫芦”画出好“瓢”？

最近刚刚了解了一下等保和国密，所以就跳到这一篇，先学习一下。

看到留言里面说，老师是从等保 2.0 开始讲起的，但是我似乎没有看到啊，之前在知乎看到一篇关于等保 2.0 的文章，等保 2.0 在 1.0 标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计……

五个级别是从 1.0 延续下来的，并且规定动作（定级、备案、建设整改、等级测评、监督检查）和主题责任都没有改变。

https://www.zhihu.com/question/51443853

我也看到留言里面又说等保不尽如人意，不过我觉得有这样一个标准总归是好事情，而且现在如果投标项目，对等保还是有要求的。如果出了安全故障，然后被追责，企业也会慢慢重视起来。

可能所有的认证，不论是面向企业还是个人的，都会面临类似的问题。

本篇最有价值的应该是借鉴的部分，从等保中借鉴安全体系建设要区分技术和管理；从 ISO270001 中借鉴 PDCA 流程规划，从 NIST 借鉴 IPDRR 框架（Identify、Protect、Detect、Respond、Recover）