2025年金融行业后台部专员电子凭证录入手册.docxVIP

2025年金融行业后台部专员电子凭证录入手册

第1章

1.1登录认证与账户安全

系统启动自检流程：用户在输入用户名和密码后，系统首先执行“双因子认证（2FA）”校验，若检测到异地登录或IP地址变动，系统会自动触发二次验证弹窗，要求输入手机验证码或生物识别信息，只有所有验证项均通过，Token才会被加密发送至用户终端。会话令牌机制：通过OAuth2.0协议，服务器在用户通过身份验证后，立即一个带有时间戳和随机数的加密会话令牌（SessionToken），该令牌仅在前台浏览器缓存15分钟，一旦超时或用户主动退出，令牌即刻失效，防止会话劫持。

密码强度动态检测：登录接口实时调用哈希算法对输入密码进行强度分析，若检测到密码包含弱字符或长度不足8位，系统会立即拦截并提示修改，同时记录该次尝试的失败次数，连续5次失败将强制锁定账户30分钟。多因素认证（MFA）集成：对于管理员账号，系统默认启用SMS短信验证码与短信推送双重验证，若仅使用短信验证，系统将自动弹出图形验证码，确保即使短信被拦截，管理员也无法获取系统控制权。密码重置安全流程：当用户发现密码遗忘时，系统不会直接重置，而是引导至“安全中心”页面，用户需输入原密码进行二次确认，随后系统一个临时的重置，该在1小时内有效，用户需输入新密码并再次确认。

异常登录拦截策略：系统内置行为分析模