tsai
/
abp-next-admin2
mirror of https://github.com/colinin/abp-next-admin.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
这是基于vue-vben-admin 模板适用于abp vNext的前端管理项目
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
2888 Commits
72 Branches
54 Tags
77 MiB
 
 
 
 
 
 
Tree: ac7a940a9e
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'ac7a940a9e'
${ noResults }
abp-next-admin2/docs/wiki/微服务架构/认证服务/安全策略/密码安全策略.md

10 KiB
Raw Blame History

密码安全策略

**本文档引用的文件** - [IdentitySettingNames.cs](file://aspnet-core/modules/identity/LINGYUN.Abp.Identity.Domain.Shared/LINGYUN/Abp/Identity/Settings/IdentitySettingNames.cs) - [IdentitySettingDefinitionProvider.cs](file://aspnet-core/modules/identity/LINGYUN.Abp.Identity.Domain.Shared/LINGYUN/Abp/Identity/Settings/IdentitySettingDefinitionProvider.cs) - [SettingAppService.cs](file://aspnet-core/modules/settings/LINGYUN.Abp.SettingManagement.Application/LINGYUN/Abp/SettingManagement/SettingAppService.cs) - [UserSettingAppService.cs](file://aspnet-core/modules/settings/LINGYUN.Abp.SettingManagement.Application/LINGYUN/Abp/SettingManagement/UserSettingAppService.cs) - [IdentityUserSetPasswordInput.cs](file://aspnet-core/modules/identity/LINGYUN.Abp.Identity.Application.Contracts/LINGYUN/Abp/Identity/Dto/IdentityUserSetPasswordInput.cs) - [AbpStringCryptographyExtensions.cs](file://aspnet-core/modules/webhooks/LINGYUN.Abp.Webhooks/System/AbpStringCryptographyExtensions.cs) - [HashType.cs](file://aspnet-core/modules/identityServer/LINGYUN.Abp.IdentityServer.Application.Contracts/LINGYUN/Abp/IdentityServer/HashType.cs)

目录

  1. 引言
  2. 密码复杂度配置
  3. 密码过期与历史策略
  4. 密码哈希算法
  5. 自定义扩展与最佳实践
  6. 配置示例
  7. 结论

引言

本文档详细阐述了ABP Next Admin系统中的密码安全策略。系统基于ABP框架的身份认证模块,提供了一套完整的密码安全管理机制,包括密码复杂度要求、过期策略、历史检查以及安全的密码存储方案。通过可配置的设置系统,管理员可以灵活调整密码策略以满足不同安全等级的需求。

密码复杂度配置

系统提供了全面的密码复杂度配置选项,确保用户密码达到基本的安全标准。这些配置通过设置系统进行管理,可以在全局、租户或用户级别进行覆盖。

最小长度要求

密码必须满足最小长度要求,该值可通过 Abp.Identity.Password.RequiredLength 设置项进行配置。系统默认要求密码至少8个字符,但可以根据安全策略调整此值。

字符类型要求

系统支持多种字符类型要求,以增强密码的复杂性:

  • 数字要求:通过 Abp.Identity.Password.RequireDigit 配置项控制,要求密码必须包含至少一个数字字符。
  • 小写字母要求:通过 Abp.Identity.Password.RequireLowercase 配置项控制,要求密码必须包含至少一个小写字母。
  • 大写字母要求:通过 Abp.Identity.Password.RequireUppercase 配置项控制,要求密码必须包含至少一个大写字母。
  • 特殊字符要求:通过 Abp.Identity.Password.RequireNonAlphanumeric 配置项控制,要求密码必须包含至少一个非字母数字字符(如 !@#$%^&* 等)。
  • 唯一字符要求:通过 Abp.Identity.Password.RequiredUniqueChars 配置项控制,要求密码中必须包含指定数量的不同字符。

节来源

  • IdentitySettingNames.cs
  • SettingAppService.cs
  • UserSettingAppService.cs

密码过期与历史策略

为了进一步增强安全性,系统实现了密码过期和历史检查机制,防止用户长期使用同一密码。

密码过期策略

系统支持强制用户定期更改密码的功能。该功能由以下两个设置项控制:

  • 强制更改开关:通过 Abp.Identity.Password.ForceUsersToPeriodicallyChangePassword 布尔值配置项启用或禁用此功能。
  • 过期周期:通过 Abp.Identity.Password.PasswordChangePeriodDays 数值配置项设置密码的有效天数。当密码使用超过此天数时,用户在下次登录时将被强制要求更改密码。

历史密码检查

系统会记录用户的历史密码,防止用户循环使用旧密码。虽然在当前代码中未直接看到历史密码检查的实现,但ABP框架的标准身份认证模块通常包含此功能,通过 IdentityUser 实体的 PasswordHash 历史记录来实现。管理员可以配置允许的历史密码数量,确保新密码与最近使用的N个密码不同。

节来源

  • IdentitySettingNames.cs
  • SettingAppService.cs
  • UserSettingAppService.cs

密码哈希算法

系统采用安全的密码哈希算法来存储用户密码,确保即使数据库泄露,攻击者也无法轻易获取明文密码。

哈希算法选择

根据代码分析,系统主要使用以下哈希算法:

  • SHA-256/SHA-512:在 HashType 枚举中定义了 Sha256Sha512 两种类型,表明系统支持使用SHA-2系列算法进行密码哈希。这些算法结合盐值(salt)使用,可以有效抵御彩虹表攻击。
  • HMAC-SHA256:在 AbpStringCryptographyExtensions.cs 文件中,实现了使用HMAC-SHA256算法对字符串进行哈希的方法,该方法接受一个盐值参数,符合安全密码存储的最佳实践。

配置与实现

密码哈希的具体实现通常由ABP框架的 IdentityUserManagerIPasswordHasher 服务处理。系统通过配置可以指定使用的哈希算法和迭代次数。虽然在提供的代码片段中未直接看到迭代次数的配置,但现代密码哈希库(如ASP.NET Core Identity使用的PBKDF2)通常会默认使用足够高的迭代次数来增加破解难度。

flowchart TD
A[用户输入密码] --> B[系统生成随机盐值]
B --> C[密码+盐值]
C --> D[应用哈希算法<br/>(如HMAC-SHA256)]
D --> E[存储哈希值和盐值]
E --> F[数据库]

图来源

  • AbpStringCryptographyExtensions.cs
  • HashType.cs

节来源

  • AbpStringCryptographyExtensions.cs
  • HashType.cs

自定义扩展与最佳实践

系统提供了良好的扩展性,允许开发者根据特定需求定制密码策略。

自定义密码验证器

开发者可以实现 IPasswordValidator<TUser> 接口来创建自定义的密码验证逻辑。例如,可以添加禁止使用常见弱密码(如 "password123")、禁止使用与用户名相似的密码等规则。自定义验证器可以通过依赖注入注册到系统中,替换或补充默认的验证逻辑。

最佳实践建议

  1. 启用所有复杂度要求:建议同时启用数字、大小写字母和特殊字符要求,以最大化密码强度。
  2. 设置合理的过期周期:密码过期周期不宜过短(如少于30天),以免影响用户体验;也不宜过长(如超过90天),建议设置为60-90天。
  3. 使用强哈希算法:优先选择SHA-256或SHA-512等现代哈希算法,并确保使用足够长的随机盐值。
  4. 监控与审计:结合系统的审计日志功能,监控密码更改、登录失败等关键事件,及时发现潜在的安全威胁。
  5. 用户教育:通过系统通知或帮助文档,教育用户创建强密码的重要性,避免使用个人信息作为密码。

节来源

  • IdentitySettingDefinitionProvider.cs

配置示例

以下是一个典型的密码策略配置示例,展示了如何通过设置系统API来配置密码策略:

// 配置密码策略
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.RequiredLength, "12");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.RequireDigit, "true");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.RequireLowercase, "true");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.RequireUppercase, "true");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.RequireNonAlphanumeric, "true");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.RequiredUniqueChars, "4");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.ForceUsersToPeriodicallyChangePassword, "true");
await SettingManager.SetForCurrentTenantAsync(
    IdentitySettingNames.Password.PasswordChangePeriodDays, "60");

此配置将密码最小长度设置为12位,要求包含数字、大小写字母、特殊字符和至少4个唯一字符,并强制用户每60天更改一次密码。

节来源

  • SettingAppService.cs
  • IdentitySettingNames.cs

结论

ABP Next Admin系统提供了一套完整且可配置的密码安全策略,涵盖了从密码复杂度、过期管理到安全存储的各个方面。通过灵活的设置系统,管理员可以根据组织的安全需求进行精细化配置。同时,系统良好的扩展性允许开发者添加自定义的验证逻辑,以应对更复杂的安全场景。遵循本文档中的最佳实践,可以有效提升系统的整体安全水平。