你在公司用钉钉登录OA系统,手机打开网盘同步照片,或者在浏览器里点开腾讯会议链接——这些看似顺手一刷就进的操作,背后其实都跑着一套认证逻辑。不是所有‘输密码就进’都一样,云服务为了兼顾安全和体验,早就不只靠用户名+密码这一招了。
密码+短信验证码:最常见但不万能
这是多数人最熟悉的组合:输账号密码后,手机弹一条6位数验证码。它比纯密码多了个‘你有这台手机’的验证维度。但问题也明显:短信可能被劫持(尤其伪基站高发区域),验证码过期时间太长(比如10分钟)或太短(30秒倒计时让人手忙脚乱),还有些老旧App压根不支持粘贴验证码,手动输入容易按错。
基于时间的一次性密码(TOTP)
微信、支付宝、GitHub 都支持用「身份验证器」App(比如Google Authenticator、Microsoft Authenticator)生成动态口令。原理简单:手机和服务器共享一个密钥,再结合当前时间戳算出6位数字,每30秒刷新一次。即使截图保存了某次口令,30秒后就作废。不过一旦手机丢了又没备份密钥,账号可能真就锁死了。
典型配置示例(以OpenID Connect为例):
GET /authorize?response_type=code&client_id=abc123&redirect_uri=https%3A%2F%2Fapp.example.com%2Fcallback&scope=openid%20profile&code_challenge=xyz&code_challenge_method=S256这里 code_challenge 就是PKCE机制的一部分,用来防止授权码被中间人截获重放。
无密码登录(Passwordless)正在变主流
微软Azure AD、阿里云RAM、AWS IAM 都已支持邮箱点击链接或手机推送通知直接登录。你点邮件里的‘立即登录’,后台悄悄完成JWT签发;或者手机弹出‘XXX应用请求登录’,你点‘允许’,服务器就收到可信设备签名。这种方式绕开了密码泄露、弱口令、键盘记录器等老问题,但依赖终端设备本身的安全性——比如你的iPhone没设锁屏密码,别人拿起来点两下就能进你企业邮箱。
OAuth 2.0 和 OpenID Connect 不是同一个东西
OAuth 2.0 本质是‘授权协议’,解决的是‘让A应用临时读取B应用里的数据’,比如用微信登录小红书,只是授权头像昵称,小红书并不能替你发朋友圈。而 OpenID Connect 是建在 OAuth 2.0 之上的‘认证层’,专门回答‘你是谁’。它会返回一个 id_token(JWT格式),里面带 sub(用户唯一标识)、iss(签发方)、exp(过期时间)等字段,云平台靠这个确认身份,而不是再去查一遍数据库。
硬件密钥(FIDO2/WebAuthn):物理防伪的硬核选择
插USB口的YubiKey、支持NFC的智能卡、甚至新款iPhone的Face ID/Touch ID,都属于FIDO2标准。登录时,网站发起挑战,你的硬件设备本地完成签名,私钥永不离开设备。钓鱼网站再像模像样,也骗不到签名结果。银行、代码托管平台、政企SaaS系统越来越多地把FIDO2设为强制二步验证选项——毕竟,没有私钥,连‘我是我’都证不了。