OIDC 如何解決密碼安全與 API 管理混亂的問題?|昕力資訊

更新於 發佈於 閱讀時間約 5 分鐘
據 Home Security Heroes 研究,使用 AI 破解程式測試 1,568 萬組密碼,其中超過 50%在1分鐘內被破解。在 OAuth 2.0 Password Grant 中,甚至完全禁止用密碼交換憑證,取而代之,OAuth 建議使用 Authorization Code 無密碼驗證機制。

無密碼驗證機制OIDC是什麼?

OIDC(OpenID Connect)是基於 OAuth 2.0、用於身份驗證和授權的開放標準協定,使網路應用程式彼此間,建立一個安全的信任關係,並簡化用戶身份的驗證流程。

OIDC 通過驗證伺服器(Authentication server)驗證用戶身份,將驗證成功的訊息回傳給客戶端應用程式,讓用戶只需要一組憑證就能訪問多個應用程式,不需要重新驗證。

OIDC 的好處是提供更好的用戶體驗,同時也提高安全性,幫助開發者確認用戶身份,並讓使用者體驗更便捷。另一方面,對企業而言除身分驗證、授權外, API 的驗證與管理也至關重要, API 過於混亂是企業常見痛點,如何妥善運用 API Token 驗證身份、授權、限制次數及使用時間,更是資安管理的重點項目之一。


輕忽 API 管理將暴露企業於風險之下

企業或機構常遇到 API 過多而造成管理上的困難,過多的 API 格式,常常一有需求就要重寫,而要授權內、外部使用 API,權限往往也不一樣,管理上容易混亂又難以清查,甚至連 API 安不安全,企業內部可能都不確定。

早在 2019 年,Gartner 的研究《API Security: What You Need to Do to Protect Your APIs》就指出,API 的攻擊持續不斷發生中,企業必須設計並執行有效的 API 管理策略,保護企業的 API。

政治大學資訊管理學系教授陳恭在 2020 年臺灣資安大會提到,API 安全有2大挑戰:第一,被企業遺忘、少用、廢棄的 API 是駭客最愛攻擊的目標;第二,駭客會從合法管道進入企業內部伺機攻擊,許多企業甚至過了很久才察覺到這些漏洞。

為了解決 API 管控及身份驗證的困擾,昕力資訊開發 digiRunner API 管理平台,協助企業和組織輕鬆管理 API,同時省去建置 AuthN 與 AuthZ 機制的時間和成本,免開發、免單元測試、免爬文、免欠技術債,是實踐核身與授權機制的上上之選。


digiRunner 採用 OIDC 徹底解決密碼安全和 API 混亂問題

digiRunner 採用 OIDC 的授權流程,它是OAuth 2.0 的進階版本,扮演驗證伺服器(Authentication server)的角色,簽發 Access Token 與 ID Token 處理身份驗證和授權,確保資料安全,只有經過驗證的用戶可以訪問特定資源,甚至對機敏交易也可以實現二次核身流程。

digiRunner 除了處理身份驗證外,還可藉由 API 管理主控台和 API 入口網,有效管理API 混亂、安全、格式轉換之困難。對內部 IT 和 API 開發人員而言,API 管理主控台可將 API 串接到 digiRunner 統一代管;內、外部開發人員則可藉由 API 入口網,以單一入口就能找到上架到入口網的所有 API。

在監控方面,digiRunner 可設定閥值,當條件滿足會立即以 E-mail 或 Line 進行通知,企業也可設定流量與 IP 黑、白名單,無論是 API Key 或 Token 機制 都能透過 API 主控台輕鬆設定,甚至限制使用者特定時間訪問、呼叫 API 也沒有問題。

digiRunner 內含 API 統計報表可以快速查詢 API 使用狀況與使用次數,了解哪一個 API 最受歡迎與最少使用,同時 API Log 也可以快速滿足企業內外部稽核需求。

即使擁有這麼多強大的功能,digiRunner 的操作介面卻非常直覺且便利,舉例來說,digiRunner 透過拖拉功能節點到操作工作頁,就可以輕鬆建立一支新的 API。

導入 digiRunner 可協助企業降低 API 維護控管的成本、快速偵測資安風險,同時符合OAuth2、OIDC 技術標準與國內規範,大幅縮短企業建立 API 管理的時間,省去 API 授權、流量管理、加密、日誌等繁瑣事務,只需專心處理自身 API 服務,大大提升公司整體效率。

digiRunner 可獨立做為驗證伺服器(Auth Server),幫助您解決驗證與 API 管理問題,若您在密碼安全及 API 管控遭遇困難,歡迎聯繫昕力資訊,我們將免費為您提供專業諮詢服務。


希望這次的文章對你有幫助,你可以透過下列方式鼓勵我們:

  • 按下愛心、還有儲存
  • 留言告訴我們有興趣的主題
  • 更多即時趨勢文章,歡迎追蹤 LinkedIn & Facebook

想要看更多的話,歡迎到我們的部落格找找有沒有你需要的!

我們是昕力資訊,專門分享各式軟體趨勢話題,我們下篇文章見!

留言
avatar-img
留言分享你的想法!
avatar-img
昕力資訊的沙龍
8會員
20內容數
昕力資訊的沙龍的其他內容
2024/12/09
了解如何透過API管理平台保障您的API安全,防止敏感數據外洩及網路攻擊,特別適用於越南、泰國、印尼等新興市場企業的解決方案!
Thumbnail
2024/12/09
了解如何透過API管理平台保障您的API安全,防止敏感數據外洩及網路攻擊,特別適用於越南、泰國、印尼等新興市場企業的解決方案!
Thumbnail
2024/11/15
昕力資訊(7781)與社團法人台北醫療聯盟協會於30日正式簽署了「公益交流合作備忘錄」(MOU),共同推動醫療科技與學術的永續發展,打造資源共享平台,開展醫療數位轉型與 AI 相關計畫與實證,達到促進醫療場域的數位革新,進而改善醫病關係。雙方將共同投入進行知識交流循環,並通過定期舉辦研討會、專業訓練
Thumbnail
2024/11/15
昕力資訊(7781)與社團法人台北醫療聯盟協會於30日正式簽署了「公益交流合作備忘錄」(MOU),共同推動醫療科技與學術的永續發展,打造資源共享平台,開展醫療數位轉型與 AI 相關計畫與實證,達到促進醫療場域的數位革新,進而改善醫病關係。雙方將共同投入進行知識交流循環,並通過定期舉辦研討會、專業訓練
Thumbnail
2024/11/15
當今數位時代,網路安全威脅日益嚴重,傳統的密碼系統不再足夠應對現代的攻擊。企業和用戶都在尋求更安全、便捷的身份驗證方式,而 FIDO(Fast IDentity Online)是一個開放且標準化的身份驗證技術,旨在解決密碼管理的複雜性和安全性問題,這種無密碼認證方式正逐漸取代對傳統密碼的依賴。
Thumbnail
2024/11/15
當今數位時代,網路安全威脅日益嚴重,傳統的密碼系統不再足夠應對現代的攻擊。企業和用戶都在尋求更安全、便捷的身份驗證方式,而 FIDO(Fast IDentity Online)是一個開放且標準化的身份驗證技術,旨在解決密碼管理的複雜性和安全性問題,這種無密碼認證方式正逐漸取代對傳統密碼的依賴。
Thumbnail
看更多
你可能也想看
Thumbnail
「欸!這是在哪裡買的?求連結 🥺」 誰叫你太有品味,一發就讓大家跟著剁手手? 讓你回購再回購的生活好物,是時候該介紹出場了吧! 「開箱你的美好生活」現正召喚各路好物的開箱使者 🤩
Thumbnail
「欸!這是在哪裡買的?求連結 🥺」 誰叫你太有品味,一發就讓大家跟著剁手手? 讓你回購再回購的生活好物,是時候該介紹出場了吧! 「開箱你的美好生活」現正召喚各路好物的開箱使者 🤩
Thumbnail
用戶註冊,是許多線上服務和應用程式的重要一環,它不僅是作為用戶識別,也有助於系統提供個人化的服務。然而,在我職涯中,總會被業主要求一些作法,硬生生的會澆熄用戶註冊的意願。以下是四種可能澆熄用戶註冊意願的作法,跟建議改善的方式。 複雜的註冊流程 多重驗證或複雜的圖形驗證碼、嚴格的密碼政策、需要
Thumbnail
用戶註冊,是許多線上服務和應用程式的重要一環,它不僅是作為用戶識別,也有助於系統提供個人化的服務。然而,在我職涯中,總會被業主要求一些作法,硬生生的會澆熄用戶註冊的意願。以下是四種可能澆熄用戶註冊意願的作法,跟建議改善的方式。 複雜的註冊流程 多重驗證或複雜的圖形驗證碼、嚴格的密碼政策、需要
Thumbnail
探索無密碼驗證機制 OIDC 及其在 API 管理平台中的應用。本文分析 OIDC 如何提升用戶體驗與安全性,並深入探討 API管理平台如何幫助企業簡化 API 管理,提高效率,並強化資安。了解這些平台如何解決 API 混亂問題,提供全面的管理解決方案。
Thumbnail
探索無密碼驗證機制 OIDC 及其在 API 管理平台中的應用。本文分析 OIDC 如何提升用戶體驗與安全性,並深入探討 API管理平台如何幫助企業簡化 API 管理,提高效率,並強化資安。了解這些平台如何解決 API 混亂問題,提供全面的管理解決方案。
Thumbnail
延續先前的筆記,「網路請求」是瀏覽器和伺服器的溝通橋梁,目的是為了取得資料庫內的資源,除了 CORS 這種瀏覽器本身的阻擋機制,伺服器也會需要進行「身分驗證或授權」這道阻擋,並不是使用者有帶上 header 告知身分,就一定可以把資料 response 回來的。
Thumbnail
延續先前的筆記,「網路請求」是瀏覽器和伺服器的溝通橋梁,目的是為了取得資料庫內的資源,除了 CORS 這種瀏覽器本身的阻擋機制,伺服器也會需要進行「身分驗證或授權」這道阻擋,並不是使用者有帶上 header 告知身分,就一定可以把資料 response 回來的。
Thumbnail
這次來介紹軟體世界中很常遇到的授權策略,而有沒有比較好的一種策略方式,讓開發者可以遵循一套標準呢? 答案是有的,就來介紹一下新寵兒,Open Polocy Agent吧! 首先我們先搞懂什麼是認證? 什麼又是授權? 還懵懵懂懂的朋友們可以請先參考這一篇「Authentication、Authoriz
Thumbnail
這次來介紹軟體世界中很常遇到的授權策略,而有沒有比較好的一種策略方式,讓開發者可以遵循一套標準呢? 答案是有的,就來介紹一下新寵兒,Open Polocy Agent吧! 首先我們先搞懂什麼是認證? 什麼又是授權? 還懵懵懂懂的朋友們可以請先參考這一篇「Authentication、Authoriz
Thumbnail
公司一位女同事因不慎把豆漿打翻在筆電,導致無法開機,換一台新電腦後,所有網路平台都得重登。「不過好在她網站都用同組密碼,不然就 GG 了。」行銷部同事 A 子很輕鬆地敘述事發經過,但身為資深工程師的我聽了直冒冷汗,想必這位女同事還沒受過密碼外洩的苦啊。
Thumbnail
公司一位女同事因不慎把豆漿打翻在筆電,導致無法開機,換一台新電腦後,所有網路平台都得重登。「不過好在她網站都用同組密碼,不然就 GG 了。」行銷部同事 A 子很輕鬆地敘述事發經過,但身為資深工程師的我聽了直冒冷汗,想必這位女同事還沒受過密碼外洩的苦啊。
Thumbnail
Bitwarden是現階段值得推薦的一款密碼管理軟體,可以避免「一個密碼打天下」的危險狀態。若選擇自架Bitwarden伺服器則可免費獲得付費訂閱版本的功能全部功能,對於有一點技術能力的人來說,是個經濟實惠的選擇。
Thumbnail
Bitwarden是現階段值得推薦的一款密碼管理軟體,可以避免「一個密碼打天下」的危險狀態。若選擇自架Bitwarden伺服器則可免費獲得付費訂閱版本的功能全部功能,對於有一點技術能力的人來說,是個經濟實惠的選擇。
Thumbnail
遠端世代來臨,且遠端服務與作業的需求因新冠疫情提升,數據資料洩漏、身份竊取和帳戶攻擊的案件隨之增加,企業的數位身份驗證機制也愈顯重要。馬克要介紹的數位身份驗證API 公司Socure 為了幫助政府機關與企業打擊欺詐,只要透過單一API 就可以使用身份驗證等多樣不同種類的服務。
Thumbnail
遠端世代來臨,且遠端服務與作業的需求因新冠疫情提升,數據資料洩漏、身份竊取和帳戶攻擊的案件隨之增加,企業的數位身份驗證機制也愈顯重要。馬克要介紹的數位身份驗證API 公司Socure 為了幫助政府機關與企業打擊欺詐,只要透過單一API 就可以使用身份驗證等多樣不同種類的服務。
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News