用户配置
系统管理员通过访问 “系统 -> 系统参数 -> 用户配置”,可以针对不同命名空间的用户(系统管理员、租户管理员、终端用户)定制接入时段、密码强度及鉴权安全等全局策略。
一、 角色配置维度
系统根据权限等级与应用场景,将配置对象分为不同的命名空间,并实施差异化的管理逻辑:
- 系统/租户管理员配置
- 管控逻辑:仅支持在系统控制台中由系统管理员统一配置,租户控制台不开放此类管理入口。
- 配置范围:涵盖允许接入时段、密码有效期、强密码开关、鉴权失败保护等核心安全项。
- 终端用户配置
- 管理逻辑:遵循“全局预设、租户可选自定义”的灵活机制。租户管理员在租户控制台中亦可查看并设置相关参数。
- 生效优先级:
- 租户优先:若租户管理员在租户控制台中进行了独立配置,则以租户设置优先。
- 继承全局:若租户未进行配置,则自动继承系统管理员设定的全局参数。
二、 核心管控逻辑
2.1 配置加锁机制
系统管理员可针对终端用户的配置项执行 “加锁” 操作,以实现行政强制标准化:
- 未锁定(默认):租户管理员拥有配置自主权,可根据业务需求自行调整。
- 锁定状态:一旦某项配置被系统管理员加锁,该配置在租户控制台中将变为 只读状态。此操作将强制所有租户遵循全局统一标准,租户管理员无法越权修改。
2.2 鉴权安全保护
为了保障账号安全,防止暴力破解,系统提供了精细的鉴权失败控制机制:
- 最大鉴权失败次数:配置范围限制为 1 - 30 次。
- 鉴权失败等待时间:配置范围限制为 10 - 3600 秒。
- 罚时与复位逻辑:
- 罚时机制:当用户连续登录失败达到配置的上限次数后,系统将触发罚时。用户必须等待设定时间结束后,方可再次尝试登录。
- 次数清零:一旦用户密码输入正确,或由管理员在后台执行了“重置密码”操作,失败计数器将立即清零。
2.3 密码安全与生命周期管理
- 强制修改默认密码:系统默认开启此项。在用户被创建后,首次登录时系统会强制弹出对话框要求其修改初始密码,确保账号接入安全。
- 密码有效期:配置范围限制为 0 - 180 天。通过定期更换密码确保账号长期安全,其中 0 代表密码永不过期。
- 密码哈希算法:默认采用
bcrypt10算法进行高强度加密存储。- 安全性权衡:选择更高强度的算法(如
bcrypt14)能显著提升抗暴力破解的安全性。 - 性能影响:需注意,算法强度的提升会增加服务器 CPU 的计算开销。选择过高的强度(如
bcrypt14)会导致用户登录等鉴权操作的响应变慢,建议根据硬件性能与安全等级平衡配置。
- 安全性权衡:选择更高强度的算法(如
注意:针对系统管理员与租户管理员等高权限角色,建议严格开启“强密码”与“定期强制改密”选项,以符合企业级信息安全审计要求。