如何验证用户？

Question

我有以下情况。

在我公司，我们使用Oracle 11g。 前端的身份验证正在使用数据库用户。 因此，前端的每个用户在数据库系统中都有自己的用户帐户。

这意味着，如果他们知道IP地址，端口等，便可以直接连接到数据库。 当然，这不是安全问题，因为我们严格管理角色和特权。 这也意味着添加新用户时，我们的DBA必须创建该用户并分配适当的角色和特权。

到目前为止，我们的前端仅由内部用户访问。 但是，我们计划为外部用户添加功能，使其可以在前端登录。

我们估计大约有750,000个外部用户，并且每年增加50,000。 该用户应该每年访问我们的系统三到四次。

我们的问题是如何授予该用户访问权限。

• 通过使用我们已经实施的身份验证系统。 每个用户都有自己的数据库用户帐户。
• 仅为外部用户生成身份验证系统。 像市场上大多数CMS一样，表作为用户的ACL（访问控制列表），我们的750,000个外部用户的密码和角色。

我主要关心的是拥有+750,000个数据库用户帐户，这些帐户大多数时候都不会被使用，最终可能使我们的内部用户陷入混乱。

有人对这种数量的用户有类似的体验，您如何处理呢？

最好的祝福。

Answer 1

从我头顶上..

• 确保任何朝外的盒子数量很少。

• 对于可以连接到数据库的盒子-仅使它们进行身份验证或获取/放置数据。 不要在数据库或同一局域网段上运行Web服务器。

• 如果可能，请加密从客户端到数据库的通信，这样，如果您的任何中间跃点都扎根了，它们只会出现垃圾。

• 使用防火墙以确保只有最低限度的最低要求可以通过。

• 为了验证身份，请勿让他们的“真实”密码离开网络服务器。 散列吧，圣地亚哥！