前言
分布式用戶(hù)認(rèn)證, 有個(gè)簡(jiǎn)單的稱(chēng)謂就是單點(diǎn)登陸, 即一處登陸,到處通行.
說(shuō)詳細(xì)一點(diǎn)就是,集中的用戶(hù)統(tǒng)一身份認(rèn)證和分布的式的用戶(hù)驗(yàn)證和資源訪(fǎng)問(wèn)控制.
對(duì)于小公司而言,提供的服務(wù)少,常常用戶(hù)認(rèn)證和服務(wù)混合在一起,體會(huì)不到分布式用戶(hù)認(rèn)證好處.
隨著公司規(guī)模的擴(kuò)大,提供的服務(wù)越來(lái)越多,把用戶(hù)認(rèn)證和服務(wù)提供拆分開(kāi)來(lái),實(shí)現(xiàn)分布式用戶(hù)認(rèn)證,可降低系統(tǒng)的相互依賴(lài)性,提高系統(tǒng)的可擴(kuò)展性.
常見(jiàn)的方案
基于普通token的方案.
這個(gè)方案通常在用戶(hù)登錄后,把用戶(hù)信息儲(chǔ)存與中心服務(wù)器, 同時(shí)給客戶(hù)端一個(gè)普通token, 以后訪(fǎng)問(wèn)服務(wù)時(shí)均以此token識(shí)別用戶(hù)身份. 這個(gè)token只是一個(gè)hash值,一個(gè)唯一的ID,自身不含用戶(hù)信息,要辨別token的真?zhèn)?需要的中心服務(wù)器查詢(xún),這是一個(gè)集中用戶(hù)認(rèn)證的方案,簡(jiǎn)單易用,當(dāng)可擴(kuò)展性不高.
本文介紹一個(gè)新的方案
基于JSON Web Token(JWT)的方案.
JWT,簡(jiǎn)單的說(shuō)就是把用戶(hù)的公開(kāi)信息和信息的簽名合成一個(gè)字符串,保證信息無(wú)法偽造.詳細(xì)可參考互聯(lián)網(wǎng)上的資料开瞭。
JWT 和基于hash值的普通token的主要不同點(diǎn):
- JWT 自身包含用戶(hù)的公開(kāi)信息。
- JWT 不用到中心服務(wù)器查詢(xún)就可驗(yàn)證真?zhèn)巍?br>
這些特點(diǎn)消恍,使得JWT 很像現(xiàn)實(shí)生活中的身份證,簽證等證件膳灶。
這個(gè)方案涝开,通過(guò)用戶(hù)登陸后,中心服務(wù)器給客戶(hù)端一個(gè)JWT瞬浓,這個(gè)JWT包含用戶(hù)的公開(kāi)信息,還有用戶(hù)權(quán)限等信息蓬坡。之后猿棉,客戶(hù)端訪(fǎng)問(wèn)服務(wù)時(shí),就以這個(gè)JWT作為身份識(shí)別屑咳,而服務(wù)提供者萨赁,不用到中心服務(wù)器查詢(xún),自己可校驗(yàn)這個(gè)JWT的真?zhèn)巍?/li>
以示范案例說(shuō)明
以一個(gè)社區(qū)應(yīng)用例兆龙,功能模塊如下:
- 發(fā)帖討論的論壇模塊
- 實(shí)時(shí)通信模塊
- 收費(fèi)的教育視頻模塊
- 收費(fèi)的音樂(lè)模塊
當(dāng)然杖爽,以上四部分都需要用戶(hù)認(rèn)證。
這四個(gè)模塊紫皇,通常由四個(gè)項(xiàng)目組完成慰安。
作為架構(gòu)設(shè)計(jì)者,有兩個(gè)重要的思想:
- 假設(shè)這四個(gè)模塊聪铺,分別由四個(gè)獨(dú)立的公司來(lái)開(kāi)發(fā)化焕。
- 每個(gè)模塊不只我們公司用,其他公司也可用
就是把API或是服務(wù)service 當(dāng)做最終獨(dú)立的產(chǎn)品來(lái)設(shè)計(jì)铃剔,這樣就能設(shè)計(jì)出好的架構(gòu).
對(duì)于這個(gè)系統(tǒng)撒桨,我們看看用戶(hù)認(rèn)證系統(tǒng)如何設(shè)計(jì)?
拋開(kāi)傳統(tǒng)的登陸概念键兜,傳統(tǒng)的登陸通常只是登陸一個(gè)地方凤类,訪(fǎng)問(wèn)一種服務(wù).
當(dāng)設(shè)計(jì)認(rèn)證系統(tǒng)時(shí),不要想我們?cè)谠O(shè)計(jì)軟件系統(tǒng)蝶押,就當(dāng)在設(shè)計(jì)一個(gè)國(guó)家踱蠢,沒(méi)錯(cuò)一個(gè)虛擬的國(guó)家.
看看國(guó)家的分布式用戶(hù)認(rèn)證是怎么運(yùn)作的火欧?
以美國(guó)為例棋电,移民局負(fù)責(zé)頒發(fā)用戶(hù)簽證茎截,而里面的大學(xué),酒店赶盔,企業(yè)就是各種服務(wù)提供者.
這里用戶(hù)認(rèn)證和服務(wù)提供是分開(kāi)的.
要入境美國(guó)企锌,首先得像移民局申請(qǐng)簽證.
當(dāng)用戶(hù)拿著簽證去住酒店時(shí),酒店服務(wù)員會(huì)查看簽證的真?zhèn)渭坝行冢?br>
當(dāng)用戶(hù)拿著簽證去住企業(yè)應(yīng)聘時(shí)于未,企業(yè)會(huì)查看簽證的真?zhèn)渭坝行谒涸埽€有就是權(quán)限,如果是旅游簽證烘浦,對(duì)不起抖坪,旅游簽證不能打工.
注意:簽證是由移民局集中發(fā)行的,而校驗(yàn)確是分布的.
酒店服務(wù)員驗(yàn)證簽證時(shí)闷叉,不會(huì)打電話(huà)到移民局查詢(xún)真?zhèn)危?/p>
我們的用戶(hù)認(rèn)證系統(tǒng)擦俐,其實(shí)只要把這一套機(jī)制幫過(guò)來(lái)即可.
由統(tǒng)一的用戶(hù)認(rèn)證系統(tǒng)負(fù)責(zé)頒發(fā)簽證,而用戶(hù)訪(fǎng)問(wèn)各種服務(wù)時(shí)握侧,持有這個(gè)簽證就可以了.
用戶(hù)認(rèn)證后蚯瞧,我們可以把用戶(hù)的公開(kāi)信息如user id等,還有就是授權(quán)信息品擎,比如6個(gè)月的視頻教程授權(quán)埋合,1個(gè)月的音樂(lè)授權(quán)等寫(xiě)到這個(gè)簽證上,這樣用戶(hù)就可訪(fǎng)問(wèn)各種服務(wù).
JWT 防偽有兩類(lèi)簽名機(jī)制萄传,一類(lèi)是基于secretKey的Hash機(jī)制甚颂,一類(lèi)是非對(duì)稱(chēng)簽名機(jī)制.
第一類(lèi)Hash機(jī)制,JWT的創(chuàng)建和驗(yàn)證使用同一個(gè)秘鑰盲再,僅適合公司內(nèi)部用.對(duì)應(yīng)開(kāi)放平臺(tái)西设,要開(kāi)放給其他公司使用,需要采用非對(duì)稱(chēng)簽名機(jī)制答朋,這樣創(chuàng)建和校驗(yàn)是兩個(gè)秘鑰贷揽,保證token的集中發(fā)行.
分布式JWT用戶(hù)驗(yàn)證的問(wèn)題.
分布式JWT用戶(hù)驗(yàn)證的問(wèn)題的一個(gè)問(wèn)題是,Token 一旦發(fā)行梦碗,無(wú)法注銷(xiāo)禽绪,只能等其自行失效.
這個(gè)不單是JWT的問(wèn)題,所有可分布式驗(yàn)證的證件都有這個(gè)問(wèn)題洪规,包括身份證印屁,簽證,駕照等.
駕照丟了斩例,去管理局注銷(xiāo)雄人,但這個(gè)注銷(xiāo),不會(huì)讓丟失的駕照立即失效,除非駕照的驗(yàn)證是集中式的.
這也是為什么幾乎所有的證件都有一個(gè)有效期的原因.
對(duì)應(yīng)JWT础钠,為了保證安全恰力,我們可以使用一個(gè)比較短的有效期,同時(shí)采用一種以舊換新的機(jī)制旗吁,確保安全.
這個(gè)機(jī)制有點(diǎn)類(lèi)似生活中的駕照年審或者簽證延期踩萎,即每隔一段時(shí)間做一次審查并核發(fā)新證,由于不需要人工操作很钓,我們的這個(gè)審查頻率提高一些.
Token以舊換新的機(jī)制,請(qǐng)參看:
http://www.reibang.com/p/b4cf771e570e
注:現(xiàn)實(shí)生活中香府,護(hù)照和簽證有些差別,對(duì)于軟件系統(tǒng)這個(gè)差別就不考慮了码倦,統(tǒng)一當(dāng)成證明身份的證件.
