單點(diǎn)登錄在現(xiàn)在的系統(tǒng)架構(gòu)中廣泛存在單點(diǎn)登錄原理,他將多個(gè)子系統(tǒng)的認(rèn)證體系打通��,實(shí)現(xiàn)了一個(gè)入口多處使用,而在架構(gòu)單點(diǎn)登錄時(shí),也會(huì)遇到一些小問(wèn)題���,在不同的應(yīng)用環(huán)境中可以采用不同的單點(diǎn)登錄實(shí)現(xiàn)方案來(lái)滿足需求。我將以我所遇到的應(yīng)用環(huán)境以及在其中所經(jīng)歷的各個(gè)階段與大家分享,若有不足���,希望各位不吝賜教。
# 共享
共享可謂是實(shí)現(xiàn)單點(diǎn)登錄最直接、最簡(jiǎn)單的方式���。將用戶認(rèn)證信息保存于中,即以內(nèi)存儲(chǔ)的值為用戶憑證,這在單個(gè)站點(diǎn)內(nèi)使用是很正常也很容易實(shí)現(xiàn)的,而在用戶驗(yàn)證��、用戶信息管理與業(yè)務(wù)應(yīng)用分離的場(chǎng)景下即會(huì)遇到單點(diǎn)登錄的問(wèn)題�����,在應(yīng)用體系簡(jiǎn)單,子系統(tǒng)很少的情況下��,可以考慮采用共享的方法來(lái)處理這個(gè)問(wèn)題��。
這個(gè)架構(gòu)我使用了基于Redis的共享方案���。將存儲(chǔ)于Redis上�����,然后將整個(gè)系統(tǒng)的全局 設(shè)置于頂級(jí)域名上,這樣就能在各個(gè)子系統(tǒng)間共享��。
這個(gè)方案存在著嚴(yán)重的擴(kuò)展性問(wèn)題���,首先����,ASP.NET的存儲(chǔ)必須為對(duì)象,而存儲(chǔ)的結(jié)構(gòu)是經(jīng)過(guò)序列化后經(jīng)過(guò)加密存儲(chǔ)的���。并且當(dāng)用戶訪問(wèn)應(yīng)用時(shí),他首先做的就是將存儲(chǔ)容器里的所有內(nèi)容全部取出單點(diǎn)登錄原理��,并且反序列化為對(duì)象���。這就決定了他具有以下約束:
1.中所涉及的類型必須是子系統(tǒng)中共同擁有的(即程序集��、類型都需要一致)����,這導(dǎo)致的使用受到諸多限制���;
2.跨頂級(jí)域名的情況完全無(wú)法處理��;
# 基于的單點(diǎn)登錄
這種單點(diǎn)登錄將用戶的身份標(biāo)識(shí)信息簡(jiǎn)化為存放于客戶端,當(dāng)用戶登錄某個(gè)子系統(tǒng)時(shí),將傳送到服務(wù)端����,服務(wù)端根據(jù)構(gòu)造用戶驗(yàn)證信息�,多用于C/S與B/S相結(jié)合的系統(tǒng)��,流程如下:
由上圖可以看到�,這套單點(diǎn)登錄依賴于的傳遞��,其驗(yàn)證的基礎(chǔ)在于的存儲(chǔ)以及發(fā)送��。
1.當(dāng)用戶第一次登錄時(shí),將用戶名密碼發(fā)送給驗(yàn)證服務(wù)����;
2.驗(yàn)證服務(wù)將用戶標(biāo)識(shí)返回到客戶端���;
3.客戶端進(jìn)行存儲(chǔ)��;
4.訪問(wèn)子系統(tǒng)時(shí),將發(fā)送到子系統(tǒng)���;
5.子系統(tǒng)將轉(zhuǎn)發(fā)到驗(yàn)證服務(wù);
6.驗(yàn)證服務(wù)將用戶認(rèn)證信息返回給子系統(tǒng)��;
7.子系統(tǒng)構(gòu)建用戶驗(yàn)證信息后將授權(quán)后的內(nèi)容返回給客戶端����。
這套單點(diǎn)登錄驗(yàn)證機(jī)制的主要問(wèn)題在于他基于C/S架構(gòu)下將用戶的存儲(chǔ)于客戶端�����,在子系統(tǒng)之間發(fā)送,而B(niǎo)/S模式下要做到這一點(diǎn)就顯得較為困難���。為了處理這個(gè)問(wèn)題我們將引出下一種方式��,這種方式將解決B/S模式下的的存儲(chǔ)���、傳遞問(wèn)題�����。
# 基于的存儲(chǔ)方案
我們知道,的作用在于充當(dāng)一個(gè)信息載體在端和端進(jìn)行信息傳遞���,而一般是以域名為分割的,例如與的是不能互相訪問(wèn)的�����,但是子域名是可以訪問(wèn)上級(jí)域名的的�。即和是可以訪問(wèn)下的的,于是就能將頂級(jí)域名的作為的載體。
驗(yàn)證步驟和上第二個(gè)方法非常相似:
1��、 在提供驗(yàn)證服務(wù)的站點(diǎn)里登錄�;
2、 將寫入頂級(jí)域名里;
3�����、 訪問(wèn)子系統(tǒng)(里帶有)
4��、 子系統(tǒng)取出通過(guò)并向驗(yàn)證服務(wù)發(fā)送
5�����、 返回用戶認(rèn)證信息
6、 返回授權(quán)后的內(nèi)容在以上兩種方法中我們都可以看到通過(guò)解耦了共享方案中的類型等問(wèn)題,并且構(gòu)造用戶驗(yàn)證信息將更靈活��,子系統(tǒng)間的驗(yàn)證是相互獨(dú)立的����,但是在第三種方案里����,我們基于所有子系統(tǒng)都是同一個(gè)頂級(jí)域名的假設(shè),而在實(shí)際生產(chǎn)環(huán)境里有多個(gè)域名是很正常的事情,那么就不得不考慮跨域問(wèn)題究竟如何解決��。
# B/S多域名環(huán)境下的單點(diǎn)登錄處理
在多個(gè)頂級(jí)域名的情況下�����,我們將無(wú)法讓各個(gè)子系統(tǒng)的共享�����。處理B/S環(huán)境下的跨域問(wèn)題,我們首先就應(yīng)該想到JSONP的方案����。
驗(yàn)證步驟如下:
1�、 用戶通過(guò)登錄子系統(tǒng)進(jìn)行用戶登錄�;
2、 用戶登錄子系統(tǒng)記錄了用戶的登錄狀態(tài)��、等信息�;
3、 用戶使用業(yè)務(wù)子系統(tǒng)�;
4�����、 若用戶未登錄業(yè)務(wù)子系統(tǒng)則將用戶跳轉(zhuǎn)至用戶登錄子系統(tǒng);
5���、 用戶子系統(tǒng)通過(guò)JSONP接口將用戶傳給業(yè)務(wù)子系統(tǒng);
6����、 業(yè)務(wù)子系統(tǒng)通過(guò)調(diào)用驗(yàn)證服務(wù)�����;
7、 驗(yàn)證服務(wù)返回認(rèn)證信息�����、業(yè)務(wù)子系統(tǒng)構(gòu)造用戶登錄憑證�;(此時(shí)用戶客戶端已經(jīng)與子業(yè)務(wù)系統(tǒng)的驗(yàn)證信息已經(jīng)一一對(duì)應(yīng))
8、 將用戶登錄結(jié)果返回用戶登錄子系統(tǒng)���,若成功登錄則將用戶跳轉(zhuǎn)回業(yè)務(wù)子系統(tǒng);
9�、 將授權(quán)后的內(nèi)容返回客戶端��;
# 安全問(wèn)題
經(jīng)過(guò)以上步驟,跨域情況下的單點(diǎn)登錄問(wèn)題已經(jīng)可以得到解決�����。而在整個(gè)開(kāi)發(fā)過(guò)程初期����,我們采用用戶表中紀(jì)錄一個(gè)字段來(lái)保存用戶,而這個(gè)機(jī)制下很明顯存在一些安全性�����、擴(kuò)展性問(wèn)題���。這個(gè)擴(kuò)展性問(wèn)題主要體現(xiàn)在一個(gè)方面:的安全性和用戶體驗(yàn)的矛盾����。
整個(gè)單點(diǎn)登錄的機(jī)制決定了是會(huì)出現(xiàn)在客戶端的����,所以需要有過(guò)期機(jī)制,假如用戶在一個(gè)終端登錄的話可以選擇在用戶每次登錄或者每次退出時(shí)刷新����,而在多終端登錄的情況下就會(huì)出現(xiàn)矛盾:當(dāng)一個(gè)終端刷新了之后其他終端將無(wú)法正常授權(quán)��。而最終,我采用了單用戶多的解決方案���。每次用戶通過(guò)用戶名/密碼登錄時(shí),產(chǎn)生一個(gè)保存在Redis里���,并且設(shè)定過(guò)期時(shí)間,這樣多個(gè)終端登錄就會(huì)有多個(gè)與之對(duì)應(yīng),不再會(huì)存在一個(gè)失效所有終端驗(yàn)證都失效的情況��。
