好像現在很多移動公司正開展著4A專案的安全建設，參照的依據便是移動集團關於4A安全建設的規範。4A便是Account、Authentication、Authorization和Audit（賬戶管理，認證管理，授權管理，審計管理）的縮寫，缺一不可。

        4A系統負責使用者主帳號管理；在應用資源與4A系統整合後，4A系統也要實現對應用資源側的從帳號管理。根據應用資源與4A系統整合規範，對賬戶密碼管理方式做個總結：

        應用資源側應做到一個自然人對應一個主帳號，而不是一個主帳號由多個自然人共享，主帳號以UID作為自然人身份的唯一標識。一個主帳號可對應一個從帳號，也可同時對應多個從帳號（每個從帳號對應一個崗位或職務的許可權）。

如果一個主帳號在一個應用資源內有多個從帳號的話，使用者需要在登入介面中選擇使用某一個從帳號進行訪問。主帳號認證方式由靜態口令認證方式與動態簡訊認證方式（國內使用者）或數字證書（海外使用者）認證方式組成。

        考慮到從帳號密碼維護的安全性，如下約定：
        1、應用資源的從帳號密碼應與主帳號密碼保持一致；當在4A系統中修改主帳號密碼時，同時修改從帳號密碼。當密碼過期時，4A系統只負責提醒使用者修改密碼，4A系統不會自動修改主帳號密碼。
        2、當4A系統正常時，使用者不應在應用資源側自行修改從帳號密碼；
        3、對於多個主帳號對應一個從帳號的情況，4A系統將不維護該從帳號的密碼，而由資源負責人自行維護；

        為了保證密碼的不可逆性，要求從帳號密碼統一採用SHA-1演算法加密，之後以Base64編碼儲存。在4A側採用SHA-1 演算法對從帳號密碼做處理，把生成的摘要字串傳遞至應用資源，4A系統和應用資源均採用Base64編碼對該字串儲存；使用者訪問應用資源時，應用資源將從帳號密碼明文通過SHA-1演算法處理得到摘要字串，然後與4A傳來的摘要字串進行對比；如果結果一致則說明使用者輸入的密碼是正確的。而對於需要保留現有密碼加密儲存方式的應用資源，可以對應用資源側輸入的從帳號密碼明文進行SHA-1演算法變換，然後再通過應用資源原有的加密演算法進行儲存。

        4A系統初始化時將從應用資源側同步從帳號到4A側，之後從帳號的增加、刪除、查詢、基本屬性的修改維護工作（不包含對從帳號的細粒度授權）統一在4A側操作。通常情況下4A系統以增量方式完成同步從帳號；在定期從帳號核查時，4A系統進行從帳號全量同步。4A系統不從應用資源側同步從帳號密碼，而是在使用者修改主帳號密碼時將從帳號密碼同步到應用資源。從帳號第一次同步到4A系統後，使用者登入4A時將強制要求使用者修改主帳號初始密碼。
        4A系統授權管理原則是誰管理誰授權。資源負責人在4A建立主帳號到從帳號的對應關係，從而實現自然人到資源的實體級授權。從帳號在應用資源側的許可權，由資源負責人通過應用資源配置。

        上面的為應用系統與4A整合規範，前面介紹的UAC產品整合策略，便是一個3A系統，通過賬戶同步模組來保持應用系統與3A賬戶的同步。