工业设置中Web应用程序身份验证的最佳实践

Question

我正在创建一个用于重工业环境的web应用程序。希望操作人员能够使用中央平板电脑或计算机作为应用程序的接口，因此在给定的工作轮班期间，多个操作员将共享一台设备。有关标准个人设备的大量信息，但没有共享的工业设置。

问题- web应用程序安全/身份验证的最佳方法是什么？

他们是否都使用相同的身份验证会话(这不可取，因为我想唯一地标识活动的user)?

• Obviously，我可以使用标准的用户名/密码和基于令牌的会话过期，然而，这为他们能够很快登录的帐户hijacking.

• Ideally，留下了很大的潜力(可能是？)当它们完成时，它们的会话就会结束。

Answer 1

在工业环境中，你通常想要坚固的硬件。这是相当专业的工具包，通常比“普通”计算硬件昂贵得多。根据环境的不同，您可能需要防水和防尘外壳。谷歌将提供一系列的选择。非坚固的设备通常无法承受恶劣的条件，而且很可能会迅速或不可预测地失效。

如果您想审计谁创建了特定的条目，您将需要某种身份验证机制。生物识别登录--指纹等--可以在一系列设备上使用，这样人们就可以很容易地登录，而无需输入用户名和密码(通常是共享的)。在此模型中，用户将身份验证到操作系统，而不是web应用程序；将它们粘合在一起是可行的，但在很大程度上取决于您的企业身份管理系统和用于构建web应用程序的框架。

另一种选择是使用RFID卡--再一次，许多坚固的计算机支持RFID读卡器，它可以读取卡片或按键样式的实物。这比生物识别身份验证更不安全，因为人们确实共享卡片。同样，这里的身份验证是在操作系统级别。

使用操作系统的身份验证工具的好处是，您可以从在一系列环境中保护访问的所有工作中获益。例如，大多数OSes允许您在某个时间结束后设置锁定屏幕的策略(未经授权的用户不能覆盖此策略)。

将身份验证构建到web应用程序中也是一种选择，但是AFAIK生物识别解决方案对于web应用程序来说仍然有些深奥。在大多数框架中，用户名/密码都很简单，如果设置一个短的会话超时时间，那么有人忘记注销并留下浏览器登录的可能性很小。对于核发射代码来说还不够好，但是对于一个商业应用程序来说，可能还可以。

您还可以查看用户名/密码身份验证的替代方案，而无需使用生物识别技术--例如密码或图像识别选项(“这是16幅随机图像，哪个是您的祖母？”)AFAIK，这不是大多数web开发框架中的标准功能，所以您必须自己滚动。

Answer 2

你能做智能卡吗？我们以前就是这么做的。这是在2006年左右，使用Windows。智能卡读卡器是一种USB设备，auth是带有智能卡的标准窗口，但是我不记得任何关于智能卡的事情。

通过读取操作员的智能卡登录到设备上，然后对服务执行kerb操作。如果kerb太老了，您可能可以将OS转换为OIDC，而不用使用诸如Okta或Auth0之类的太多戏剧。

或者让设备对所有用户使用相同的凭据，但以某种方式从请求上下文中获取os用户名。

编辑

关于这方面的一些更具体的例子：

• 在这里有一篇关于智能卡的文章：https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-how-smart-card-sign-in-works-in-windows获取卡片/读卡器不是我有经验的东西，但是对于工业站点来说，这通常是一种面包和黄油，在那里用户必须不停地计时。

• 一旦用户通过操作系统进行身份验证，那么就需要使用这个上下文来获得一个web友好的auth方案。

- You could also use SAML Federation between an IdP and ADFS/AzureAD which would allow you to issue a OAuth2 access token
- Okta supports can do SSO (by effectively hiding the SAML Federation) using a browser plugin: [https://help.okta.com/en/prod/Content/Topics/Apps/Apps\_Browser\_Plugin.htm](https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Browser_Plugin.htm).

• 的最终结果是，对于登录到
• 的用户，您可以发出Oauth2/OIDC访问令牌

web应用程序可以使用标准的authentication访问令牌

这与网络应用没有任何关系，所有这些都是关于如何获取操作系统的上下文，并使用它来获取一些“正常”的东西，供web应用程序使用。

祝好运!

Answer 3

谢谢你张贴这个酷问题。

设备是否处于受控设置中，只有经授权的工作人员才能访问？盗窃设备的可能性很低吗，就像有机会使用它的人不太可能移动它一样？

换句话说，您的主要兴趣是识别而不是身份验证吗？如果是这样的话，你如何快速识别谁在操作计算机而不干扰工作或使其过于繁琐而无法使用？你是否需要识别出那个人才能完成这项工作，还是有身份只是以后审计的一种预防措施，来回答谁做了这个问题？

一种选择是使用人脸识别或简单地捕捉一张照片。其他生物识别技术，如语音和指纹识别也是可能的。身份证或胶布可以通过，必须被打捞出来才能使用，而工人必须记住带着它。一个别针或其他秘密也可以很容易地分享。捕捉生物特征是识别工人的一种可靠方法。