理想情况下，您的新服务或应用程序易于使用和访问，您希望尽快使用您的产品的客户可以开始使用它，并且摩擦最小。你的核心价值主张就在登录屏幕的另一边，让这个入口稍微困难一点，就有可能把这些潜在客户转移到其他地方。加强身份验证是在安全性和摩擦之间取得平衡的一种方法。它确保用户可以使用一组凭据访问某些资源，但当用户请求访问敏感资源时，将提示用户提供更多凭据。我们将介绍三个用于升级身份验证的象征性用例：用户希望对某些资源进行无缝访问，但组织希望在访问任何更敏感的资源之前验证其身份。员工需要访问数据以完成日常工作，但偶尔需要访问私人数据，如果暴露会造成损害。您已经或想要部署一个成员资格模型，该模型限制付费用户完全访问您的站点或服务。升级身份验证使您能够方便地访问一层资源，并安全地访问另一层资源。这将使身份验证为您和您的用户工作，并为您的业务提供新的运行方式。"了解不同的用例，对于这些用例，升级身份验证对于提供安全、无摩擦的用户体验至关重要。"在推特上留言什么是升级身份验证？升级身份验证的目标是使身份请求适应资源的重要性和暴露的风险级别。要求太少会给你的用户（或任何可能冒充他们的人）一个危险的自由度，而要求太多，尤其是预先要求，会产生明显的摩擦。你不能假设提供匹配用户名和密码的每个用户实际上都是他们声称的用户。身份盗窃是一个日益严重的问题-对人们和他们使用的企业。身份盗贼可以发送网络钓鱼电子邮件，从毫无戒心的用户那里窃取凭据，或者冒充权威人物，请求凭据或访问权限。如果用户在不同的服务中重复密码，单独的漏洞可能会使他们的凭据和你的资源暴露在外，以50美元的低价出售。这种威胁引发的恐惧导致一些企业采取安全措施来攻击用户，但最好的安全措施很简单。简单的安全性保证了用户的快乐和企业的安全。这很难单独实现，万云，但当您具有服务身份时就很容易实现。升级身份验证的风险在于实现过程中。2013年，Target让太多人访问他们不需要的数据，从而使自己变得脆弱。尽管大多数员工在没有双因素身份验证的情况下无法访问敏感数据，但Target允许一些供应商在没有双重身份验证的情况下保持对其网络的访问。一旦黑客控制了供应商凭证，他们就可以进入Target的销售点系统，最终窃取4000万张信用卡。有效的升级身份验证需要仔细规划谁有权访问以及谁需要升级。逐步验证vs.多因素身份验证vs.自适应身份验证逐步认证通常与多因素认证（MFA）和自适应认证（adaptiveauthentication）处于同一对话中，但它们之间存在着重要的区别。逐步认证和自适应认证是认证系统，而MFA是一个涵盖两个系统使用的认证因素的术语。MFA指的是超出用户名和密码的身份验证方法，例如生物识别、物理卡和电子邮件链接。您可能需要所有用户提交多个身份验证因素，如果您使用的是自适应身份验证或逐步身份验证，则只需要提交一些因素。自适应身份验证，大数据+，也称为基于风险的身份验证，类似于逐步身份验证，但它是动态的而不是静态的。自适应认证系统根据用户的风险状况自动触发额外的认证因素，通常通过MFA因素。可以通过用户角色、资源敏感度、用户位置等来了解风险状况。自适应身份验证系统然后提示应该与请求及其源的风险级别相适应的凭据。逐步验证通常是静态的，并且基于资源和用户的预定义风险级别。它关注于不同资源的敏感度和价值，将它们限制为可以提供凭证以证明其访问权限的用户。何时应使用升级身份验证？任何资源或数据暴露都可能造成漏洞，因此有效使用升级身份验证需要谨慎。一般来说，最好尽可能地保持所有资源的安全性，但在某些情况下，给许多用户一些访问权限是有用的，而一些用户则有更多的访问权限。用户需要访问高风险资源在许多情况下，用户并不总是需要访问高风险资源，但当他们需要访问时，逐步验证可以确保他们是他们所说的人。例如，银行的移动应用程序通常允许客户进行小的更改，只需少量的身份验证即可访问有限的信息。如果客户想检查自己的余额或扫描和存款支票，风险水平相对较低，云服务器商，银行可以让他们只使用用户名和密码。如果客户检查他们的余额并决定转移资金，那么银行可以提示他们，如果移动的资金超过一定的数额，银行可以提示他们提供更多的凭证。发送到电话号码或电子邮件地址的一次性代码可以验证请求背后的身份。虽然这样的安全措施可能会让客户感到恼火，如果他们只是想看看他们的工资是否在那一周通过，但他们可能会更耐心地验证一项已知的风险更大的行为。组织经常会遇到与员工类似的用例。例如，如果您的公司有一个GitHub企业服务器实例，那么您可能希望让您的员工能够轻松地查看代码并创建新的分支，但要限制他们提交代码或更改存储库设置。通过这种方式，组织可以控制谁有权将代码提交到生产中，从而保护他们不受员工错误和坏人冒充员工的影响。用户希望与敏感数据交互通过逐步验证，员工可以每天访问他们需要的数据，而无需自动访问敏感资源。一旦它们确实需要访问，自建站平台，升级身份验证可以根据需要对它们进行验证。例如，公司的内部网服务可以简化对有限的客户信息子集的访问。同样的服务也可以连接到更敏感的资源，比如同事的工资数据或者来自客户的私人支付信息。下面，返利机器人怎么做，您可以看到Auth0如何在Fabrikam（一个虚构的公司）的用户访问Intranet时提示加强身份验证。即使网络钓鱼活动或数据泄露给了身份盗贼你雇员的证书，加强身份验证也会阻止他们访问敏感数据。企业希望为付费用户提供特权如果您在网上了解最新消息，可能会遇到一个升级身份验证提示。像《纽约时报》和《华盛顿邮报》这样的主要出版商允许任何人在一定程度上阅读他们网站上的文章。在阅读了该网站设置的一些文章后，会弹出一个弹出窗口，提示您登录或创建付费帐户。在这个用例中，升级认证鼓励分发，并激励新的读者为进一步的访问付费。当一篇文章在Twitter上疯传时，它可以吸引新的读者，他们可能会喜欢这篇文章，并说服更有经验的读者付费，这样他们就可以随时了解情况。"什么是升级身份验证，什么时候应该使用它？在这篇博客文章中找到答案。"在推特上留言如何实现升级认证身份管理看起来很简单，但弄错了会带来可怕的后果。数据泄露可能会损害企业，损害声誉，并暴露您正试图服务的用户的私人信息。外包身份使您能够继续处理核心服务，并在必要时实现身份验证协议和系统。Auth0使添加具有可扩展MFA支持的升级身份验证变得容易。使用Auth0，您的应用程序或站点可以验证用户是否已经通过您选择的MFA因素登录，如果还没有，则提示凭据请求。通过使用Auth0规则设置策略，可以自定义不同上下文和不同用户需要哪些MFA因子。您可以使用应用程序编程接口（API）或web应用程序来实现这一点。例如，如果用户想用银行的应用程序转账，并且该应用程序包含Auth0升级认证，则该应用程序将发送一个包含不同权限的访问令牌，例如查看帐户余额或转账的能力。如果请求没有第二个参数，API会将用户重定向到Auth0，这会提示用户输入更多凭证。一旦用户通过MFA验证了他们的身份，令牌将接收该参数，用户将有权访问。如果您正在设计一个web应用程序，您可以对其进行配置，以便当用户从一个视图转到另一个视图时，web应用程序会提示MFA。当用户登录时，JSON web令牌将指示他们允许的访问级别。如果MFA参数不存在，Auth0可以重定向用户并提示他们输入更多的身份验证因子。它可以是简单的第三方认证，如二人，电子邮件，短信，或与监护人推送通知。使用升级身份验证提高安全性身份验证不必感觉像一个障碍—您可以在不牺牲安全性的情况下根据可用性的需要进行调整。硒