账号安全

Erda 采用基于角色的访问控制(RBAC账号安全 - 图1 (opens new window))来实现企业级的用户权限管理,Erda 的核心资源是应用,多个应用构成一个项目,一个企业下面可以有多个项目,通过赋予用户不同的角色来实现用户对这些应用的权限管理。

RBAC概述

在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理,可以很方便的对用户授予或者收回特定权限,有效解决权限滥用的安全问题。 账号安全 - 图2

Erda 的角色划分参考 这里

用户安全

渗透用户账号是互联网中最常见的攻击之一,黑客可通过帐户进行敏感信息的收集,从而可进一步渗透到内网,严重的可以直接拿到整个网络的管理权等,Erda 在用户安全管理方面做了如下措施来保障用户的信息不被利用。

  1. 用户中心支持针对非活跃用户,比如大于90天未登录用户,进行自动冻结;
  2. 用户中心针对用户敏感信息,比如密码,进行了盐值加密,杜绝密码暴力破解可能;
  3. 用户中心密码规则使用14位密码 + 数字 + 大小写 + 特殊字符的限制,杜绝弱口令风险;
  4. 用户中心具备登录防暴力破解能力,具体包括:
    用户连续3次登录密码错误,弹出图片验证码,进行人机校验 用户连续5次登录密码错误,冻结用户5分钟/永久冻结该用户,可配置
    用户24小时内累计10次登录密码错误,冻结用户5分钟/永久冻结该用户,可配置
  5. 用户登录针对跳转地址,进行了白名单地址过滤,仅配置在白名单中的地址,可以进行登录成功后的页面跳转;
  6. 用户中心整体接入了 https 协议。