在初始化系统中的第一个应用程序级用户时,最佳实践是什么?它是通过设置用户名(如超级管理员),并要求密码的第一次?
是否可以设置一个静态用户名/密码,以后可以选择更改?
或者将超级管理员的密码作为配置(DB或配置文件)(确实哈希)?
我检查了这个:https://stackoverflow.com/questions/33566691/adding-first-user-in-system-best-practice
我不确定它是否也包括SaaS !
我不确定它是否也包括SaaS !
如果你的问题是关于SaaS的,那么在你链接的答案中你有一个可能的答案:
注册该服务的用户将成为默认管理员。许多基于SaaS的应用。
如果这是软件即服务,有人协商合同,有人支付账单。当您为新客户设置SaaS解决方案时,请他填写一个表单,其中包含应该接收管理员用户名和密码的人员的电子邮件。根据他们的组织,管理人员、业务人员、IT人员可能是那个人。
您的应用程序然后在数据库中生成一个用户(可以是admin或随机名称),具有安全密码(对此有最佳实践和工具,您可以在线搜索),您将其发送到指定的电子邮件。您设置它,以便当客户端使用您提供的用户名和密码登录时,他被迫更改它(即仅对一次登录有效)。
理想情况下,您生成的用户名和密码应该只在一段时间内有效。在同一注册表单上,您还可以请求作为客户端的组织的公共IP,并且只允许从该IP到达的admin用户使用。
如果你用心去做,我相信你也能找到其他的解决办法。尽量保证安全。