登录安全策略

开启账户错误登录校验

a.输入错误密码XX次（1 ~ 10次以内）密码冻结账户，即账户输入密码错误次数超过配置次数后系统自动冻结账户，此时账户不能再登录。

b.冻结账户XX分钟（1 ~ 60分钟以内）后释放用户，即账户被冻结后在配置的时间后释放账户，用户可以重新登录，倘若输入密码错误次数超过配置次数，则账户再次冻结。

启用错误登录输入验证码

输入错误验证码（1 ~ 10次以内）配置开启后用户输入错误密码次数超过配置次数后需要用户再次输入验证码。 备注：图形验证码错误校验次数应小于错误密码冻结校验次数

启用密码有效性

密码有效性选项默认关闭，开启后可以对策略生效日期、密码有效期进行配置

• 策略生效日期：选择具体日期后，文本框回显选择的时间，并将该时间作为计算密码有效期的起始日期，必填,一般建议设置为项目上线时间

  
  
  

• 从生效日期+配置的有效期计算密码的有效性，可以填写0-999的数字，必填

  
  
  ○ 一般建议的安全最佳操作是将密码设置为 30 到 90 天。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
  
  
  ○ 默认值为0，该配置项为0时，认为密码永久有效。

启用旧密码记忆

默认不开启，记录用户曾用密码，并在用户修改密码时根据配置的记忆次数进行校验

• 记忆次数：文本框输入，可以输入的范围为1-10。默认为1，即修改时校验不可以与当前密码相同

  
  

• 相似度：默认100%，不可修改。

  
  
  

密码复杂度

• 默认策略

  
  
  ○ 长度默认值：8-20位
  
  
  ○ 复杂度默认值：数字、字母、特殊字符~!@#$%^&*_-?.
  
  
  

• 自定义

  
  
  ○ 密码长度：整数输入框，输入一个数字区间
  
  
  
  
  ○ 密码复杂度：多选
  
  
  ■ 数字
  
  
  ■ 字母
  
  
  ■ 字母(区分大小写)：选择大、小写字母时，密码需同时含有大写及小写字母
  
  
  ■ 特殊字符（~!@#$%^&*_-?.）
  
  
  

Token有效期

可配置登录时效和续约时效来计算实际的Token失效时间，失效时间为登录失效期&续约失效期孰晚者

• 登录时效：用户登录后的有效时段，登录有效期为登录时间+登录时效

  
  

• 续约时效：用户操作后增加的有效时段，续约有效期为末次操作时间+续约时效

  
  
  

登录因素认证

• 单因素认 只支持「账号密码登录」或者「验证码登录」

  
  
  

• 多因素认证

  
  
  除基本因素外，可选一项其他因素进行联合认证。开启多因素后，基本认证因素将不支持验证码登录。
  
  
  

启用登录人数上限

登录上限用来控制平台同时允许访问的用户数量，根据有效token来统计在线人数，达到上限人数后用户无法登录，旨在维护系统的稳定性和安全性，避免因为过多用户同时访问而导致系统过载。