浅议非典型 Web 应用场景下的身份认证

回想起刚毕业那会儿，因为没有 Web 开发的经验而被人轻视，当年流行的 SSH 全家桶，对我鼓捣 Windows 桌面开发这件事情，投来无限鄙夷的目光，仿佛 Windows 是一种原罪。可时间久了以后，我渐渐意识到，对工程派而言，一切都是工具；而对于学术派而言，一切都是包容。这个世界并不是只有 Web，对吧？所以，这篇博客我想聊聊非典型 Web 应用场景下的身份认证。

使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器

在使用Jupyter Notebook和JupyterLab 的过程中，有些用户缺乏安全意识，未启用身份验证功能，导致任何用户都可以直接访问自己的Jupyter服务器，并查看其服务器上的代码和文档。

我们使用ZoomEye 网络空间搜索引擎，通过特定搜索关键词，可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档，若被不法分子利用，可能会造成数据泄露和资产损失。

我们建议全部Jupyter用户，在启动Jupyter服务的时候，遵循官方安全建议，设置成必须通过token或者password登录。

微服务下的身份认证和令牌管理

本文分析了微服务间身份认证和令牌管理的系统自身鉴权，API网关鉴权和authentication sidecar的方案，痛点和好处。

数字世界里的信任钥匙：数字身份

数字身份是打开数字世界里信任大门的钥匙，我们不能丢失对于它的掌管权利，就如同我们不能把钥匙交给陌生人保管一样。

《2019年上半年Web应用安全报告》发布：90%以上攻击流量来源于扫描器，IP身份不再可信

Web应用安全依然是互联网安全的最大威胁来源之一，除了传统的网页和APP，API和各种小程序也作为新的流量入口快速崛起，更多的流量入口和更易用的调用方式在提高web应用开发效率的同时也带来了更多和更复杂的安全问题。一方面，传统的SQL注入、XSS、CC攻击等传统攻击手段和各种新爆出的web漏洞无时无刻不在考验着web应用安全方案的健壮性、灵活性和安全团队的快速反应能力，另一方面随着大数据技术和流量产业的成熟，互联网中来自自动化程序的流量占比也在迅速增长，爬虫也随之成为一个不容忽视的存在，伴随而来的数据泄露、流量作弊等问题也为各类业务带来了非常头痛的费用浪费、业务不可用以及各类业务安全类问题。

Auth0云服务身份验证平台爆出身份验证绕过漏洞CVE-2018-6873/74

攻击者仅需要知道用户的user ID或者email地址，就可以登录该用户任何使用Auth0验证的应用。身份即服务网络身份认证公司Auth0曾获得1500 万美元 B 轮融资。

登录工程：现代Web应用中的身份验证技术

登录工程：现代 Web 应用的典型身份验证需求

DT科技评论第22期：DeepMind官方确认Master身份就是 AlphaGo！

登录工程：传统 Web 应用中的身份验证技术