MASVS-AUTH:身份验证和授权¶
身份验证和授权是大多数移动应用的基本组成部分,特别是那些连接到远程服务的应用。这些机制提供了一个额外的安全层,并有助于防止未经授权访问敏感用户数据。虽然这些机制的强制执行必须在远程端点上,但对于应用程序来说,遵循相关的最佳实践以确保安全使用所涉及的协议也同样重要。
移动应用程序通常使用不同形式的身份验证,例如生物识别、PIN 码或多因素身份验证代码生成器,来验证用户身份。必须正确实施这些机制,以确保其在防止未经授权的访问方面的有效性。此外,某些应用程序可能仅依赖于本地应用程序身份验证,并且可能没有远程端点。在这种情况下,至关重要的是确保本地身份验证机制是安全的,并按照行业最佳实践实施。
此类别中的控制旨在确保应用程序安全地实施身份验证和授权机制,从而保护敏感用户的信息并防止未经授权的访问。重要的是要注意,还应使用行业标准(例如OWASP 应用程序安全验证标准 (ASVS))验证远程端点的安全性。
控制项¶
| ID | 控制 |
|---|---|
| MASVS-认证-1 | 应用使用安全的身份验证和授权协议,并遵循相关的最佳实践。 |
| MASVS-认证-2 | 该应用程序根据平台最佳实践安全地执行本地身份验证。 |
| MASVS-认证-3 | 应用程序使用附加的身份验证来保护敏感操作。 |