Authing 文档
文档
快速开始
概念
使用指南
开发集成
应用集成
加入 APN
多租户(内测版)
旧版
快速开始
概念
使用指南
开发集成
应用集成
加入 APN
多租户(内测版)
旧版
使用指南
  • 快速开始

  • 对用户进行认证
  • 对用户进行权限管理
  • 授权
  • 管理用户账号
  • 管理用户目录
  • 同步中心(BETA)
  • 自建应用
  • 单点登录 SSO
  • 成为联邦认证身份源
  • 连接外部身份源(IdP)
  • 打通微信生态
  • 迁移用户到 Authing
  • 管理组织机构
  • 自动化
  • 审计日志
  • 配置安全信息

    • 配置 Web 安全域
    • 配置密码强度
    • 配置注册频率限制
    • 配置登录失败次数限制
  • 配置用户池信息

  • 部署方案
  • 常见问题 FAQs

    ¶ 配置 Web 安全域

    对于 Web 应用来说,存在 userPoolId/secret 被盗取的风险,所以我们需要做一些特别的防御措施。关键点是,我们要能够保证其他人获取到你的 userPoolId ,也无法直接使用你的服务器资源。Web 端可以通过 Web 安全域名 来对请求来源做限制,可以简单的防御住 Web 的服务器资源盗取。

    设置「Web 安全域名」后,仅可在该域名下通过 JavaScript SDK 调用服务器资源。注意:域名配置策略与浏览器域安全策略一致,要求域名协议、域和端口号都需严格一致,不支持子域和通配符,否则会导致访问被禁止。举例说明一下域名的区别:

    // 跨域
    www.a.com:8080
    www.a.com
    
    // 跨域
    www.a.com:8080
    www.a.com:80
    
    // 跨域
    a.com
    www.a.com
    
    // 跨域
    xxx.a.com
    www.a.com
    
    // 不同协议,跨域
    http:
    https:
    
    

    这样就可以防止其他人通过外网其他地址盗用你的服务器资源。但是要注意,Web 安全域名所能达到的目的是防御恶意部署,而不是防御伪造脏数据(恶意用户通过绑定 host 方式还是有可能访问到应用的数据),所以要想对数据进行更多细粒度的控制,需要配合 ACL 来使用。

    在 WebView 中使用,建议通过 WebView 去加载一个部署好的、有域名的 Web,然后缓存在本地,这样可以通过 Web 安全域名来做限制。

    如果在前端使用 JavaScript SDK,当你打算正式发布出去的时候,请务必配置 Web 安全域名,方法是进入 控制台 > 设置 >安全信息> 安全域(CORS)。

    上一篇: 管理员行为的审计 下一篇: 配置密码强度

    评价此文档
    有什么建议或错别字吗? 在 Github 上编辑

    如果遇到其他问题,你可以在 authing-chat/community 联系我们。

      用户身份管理

      集成第三方登录
      手机号闪验 (opens new window)
      通用登录表单组件
      自定义认证流程

      企业内部管理

      单点登录
      多因素认证
      权限管理

      开发者

      开发文档
      框架集成
      博客 (opens new window)
      GitHub (opens new window)
      社区用户中心 (opens new window)

      公司

      400 888 2106
      sales@authing.cn
      北京市朝阳区北辰世纪中心 B 座 16 层(总)
      成都市高新区天府五街 200 号 1 号楼 B 区 4 楼 406 室(分)

      京ICP备19051205号

      beian京公网安备 11010802035968号

      © 北京蒸汽记忆科技有限公司