B2B认证最佳实践

Question

我正在开发一个B2B (业务对企业)应用程序。我已经实现了JWT auth，它正在按预期工作。现在，身份验证功能就像B2C (业务对客户)应用程序一样。

我正在尝试确定B2B身份验证的最佳实践。

在B2B应用程序中有一个身份验证帐户不好吗？例如，A公司的每个员工都使用同一组登录凭据。

Answer 1

不管应用程序的类型如何，只有一组凭据肯定是不好的做法。首先，由于它是共享的，因此更有可能被不太小心地对待；例如，写在人们可能看到的地方，因此更容易落入攻击者的手中。一旦密码被泄露，改变它是一个更大的交易，因为你需要通知每个人。

它还极大地降低了您审核用户活动的能力；如果没有唯一的用户ID，您就无法跟踪谁在做什么。

如果该公司已经使用了中央身份验证服务(例如活动目录/LDAP)或单点登录(SSO)，那么最好还是依靠它来进行身份验证，同时增加所有用户信息以及组/权限信息的优势。