單點(diǎn)登錄在現(xiàn)在的系統(tǒng)架構(gòu)中廣泛存在,他將多個(gè)子系統(tǒng)的認(rèn)證體系打通,實(shí)現(xiàn)了一個(gè)入口多處使用麦牺,而在架構(gòu)單點(diǎn)登錄時(shí),也會遇到一些小問題鞭缭,在不同的應(yīng)用環(huán)境中可以采用不同的單點(diǎn)登錄實(shí)現(xiàn)方案來滿足需求剖膳。我將以我所遇到的應(yīng)用環(huán)境以及在其中所經(jīng)歷的各個(gè)階段與大家分享,若有不足岭辣,希望各位不吝賜教吱晒。
一、共享Session
共享Session可謂是實(shí)現(xiàn)單點(diǎn)登錄最直接沦童、最簡單的方式仑濒。將用戶認(rèn)證信息保存于Session中叹话,即以Session內(nèi)存儲的值為用戶憑證,這在單個(gè)站點(diǎn)內(nèi)使用是很正常也很容易實(shí)現(xiàn)的墩瞳,而在用戶驗(yàn)證驼壶、用戶信息管理與業(yè)務(wù)應(yīng)用分離的場景下即會遇到單點(diǎn)登錄的問題,在應(yīng)用體系簡單喉酌,子系統(tǒng)很少的情況下热凹,可以考慮采用Session共享的方法來處理這個(gè)問題。
這個(gè)架構(gòu)我使用了基于Redis的Session共享方案泪电。將Session存儲于Redis上般妙,然后將整個(gè)系統(tǒng)的全局Cookie Domain設(shè)置于頂級域名上,這樣SessionID就能在各個(gè)子系統(tǒng)間共享相速。
這個(gè)方案存在著嚴(yán)重的擴(kuò)展性問題碟渺,首先,ASP.NET的Session存儲必須為SessionStateItemCollection對象突诬,而存儲的結(jié)構(gòu)是經(jīng)過序列化后經(jīng)過加密存儲的苫拍。并且當(dāng)用戶訪問應(yīng)用時(shí),他首先做的就是將存儲容器里的所有內(nèi)容全部取出攒霹,并且反序列化為SessionStateItemCollection對象怯疤。這就決定了他具有以下約束:
- Session中所涉及的類型必須是子系統(tǒng)中共同擁有的(即程序集、類型都需要一致)催束,這導(dǎo)致Session的使用受到諸多限制集峦;
- 跨頂級域名的情況完全無法處理;
二抠刺、基于OpenId的單點(diǎn)登錄
這種單點(diǎn)登錄將用戶的身份標(biāo)識信息簡化為OpenId存放于客戶端塔淤,當(dāng)用戶登錄某個(gè)子系統(tǒng)時(shí),將OpenId傳送到服務(wù)端速妖,服務(wù)端根據(jù)OpenId構(gòu)造用戶驗(yàn)證信息高蜂,多用于C/S與B/S相結(jié)合的系統(tǒng),流程如下:
由上圖可以看到罕容,這套單點(diǎn)登錄依賴于OpenId的傳遞备恤,其驗(yàn)證的基礎(chǔ)在于OpenId的存儲以及發(fā)送。
- 當(dāng)用戶第一次登錄時(shí)锦秒,將用戶名密碼發(fā)送給驗(yàn)證服務(wù)露泊;
- 驗(yàn)證服務(wù)將用戶標(biāo)識OpenId返回到客戶端;
- 客戶端進(jìn)行存儲旅择;
- 訪問子系統(tǒng)時(shí)惭笑,將OpenId發(fā)送到子系統(tǒng);
- 子系統(tǒng)將OpenId轉(zhuǎn)發(fā)到驗(yàn)證服務(wù);
- 驗(yàn)證服務(wù)將用戶認(rèn)證信息返回給子系統(tǒng)沉噩;
- 子系統(tǒng)構(gòu)建用戶驗(yàn)證信息后將授權(quán)后的內(nèi)容返回給客戶端捺宗。
這套單點(diǎn)登錄驗(yàn)證機(jī)制的主要問題在于他基于C/S架構(gòu)下將用戶的OpenId存儲于客戶端,在子系統(tǒng)之間發(fā)送OpenId川蒙,而B/S模式下要做到這一點(diǎn)就顯得較為困難蚜厉。為了處理這個(gè)問題我們將引出下一種方式,這種方式將解決B/S模式下的OpenId的存儲派歌、傳遞問題弯囊。
三、基于Cookie的OpenId存儲方案
我們知道胶果,Cookie的作用在于充當(dāng)一個(gè)信息載體在Server端和Browser端進(jìn)行信息傳遞,而Cookie一般是以域名為分割的斤斧,例如a.xxx.com與b.xxx.com的Cookie是不能互相訪問的早抠,但是子域名是可以訪問上級域名的Cookie的。即a.xxx.com和b.xxx.com是可以訪問xxx.com下的Cookie的撬讽,于是就能將頂級域名的Cookie作為OpenId的載體蕊连。
驗(yàn)證步驟和上第二個(gè)方法非常相似:
- 在提供驗(yàn)證服務(wù)的站點(diǎn)里登錄;
- 將OpenId寫入頂級域名Cookie里游昼;
- 訪問子系統(tǒng)(Cookie里帶有OpenId)
- 子系統(tǒng)取出OpenId通過并向驗(yàn)證服務(wù)發(fā)送OpenId
- 返回用戶認(rèn)證信息
- 返回授權(quán)后的內(nèi)容
在以上兩種方法中我們都可以看到通過OpenId解耦了Session共享方案中的類型等問題甘苍,并且構(gòu)造用戶驗(yàn)證信息將更靈活,子系統(tǒng)間的驗(yàn)證是相互獨(dú)立的烘豌,但是在第三種方案里载庭,我們基于所有子系統(tǒng)都是同一個(gè)頂級域名的假設(shè),而在實(shí)際生產(chǎn)環(huán)境里有多個(gè)域名是很正常的事情廊佩,那么就不得不考慮跨域問題究竟如何解決囚聚。
四、B/S多域名環(huán)境下的單點(diǎn)登錄處理
在多個(gè)頂級域名的情況下标锄,我們將無法讓各個(gè)子系統(tǒng)的OpenId共享顽铸。處理B/S環(huán)境下的跨域問題,我們首先就應(yīng)該想到JSONP的方案料皇。
驗(yàn)證步驟如下:
- 用戶通過登錄子系統(tǒng)進(jìn)行用戶登錄谓松;
- 用戶登錄子系統(tǒng)記錄了用戶的登錄狀態(tài)、OpenId等信息践剂;
- 用戶使用業(yè)務(wù)子系統(tǒng)鬼譬;
- 若用戶未登錄業(yè)務(wù)子系統(tǒng)則將用戶跳轉(zhuǎn)至用戶登錄子系統(tǒng);
- 用戶子系統(tǒng)通過JSONP接口將用戶OpenId傳給業(yè)務(wù)子系統(tǒng)舷手;
- 業(yè)務(wù)子系統(tǒng)通過OpenId調(diào)用驗(yàn)證服務(wù)拧簸;
- 驗(yàn)證服務(wù)返回認(rèn)證信息、業(yè)務(wù)子系統(tǒng)構(gòu)造用戶登錄憑證男窟;(此時(shí)用戶客戶端已經(jīng)與子業(yè)務(wù)系統(tǒng)的驗(yàn)證信息已經(jīng)一一對應(yīng))
- 將用戶登錄結(jié)果返回用戶登錄子系統(tǒng)盆赤,若成功登錄則將用戶跳轉(zhuǎn)回業(yè)務(wù)子系統(tǒng)贾富;
- 將授權(quán)后的內(nèi)容返回客戶端;
五牺六、安全問題
經(jīng)過以上步驟颤枪,跨域情況下的單點(diǎn)登錄問題已經(jīng)可以得到解決。而在整個(gè)開發(fā)過程初期淑际,我們采用用戶表中紀(jì)錄一個(gè)OpenId字段來保存用戶OpenId畏纲,而這個(gè)機(jī)制下很明顯存在一些安全性、擴(kuò)展性問題春缕。這個(gè)擴(kuò)展性問題主要體現(xiàn)在一個(gè)方面:OpenId的安全性和用戶體驗(yàn)的矛盾盗胀。
整個(gè)單點(diǎn)登錄的機(jī)制決定了OpenId是會出現(xiàn)在客戶端的,所以O(shè)penId需要有過期機(jī)制锄贼,假如用戶在一個(gè)終端登錄的話可以選擇在用戶每次登錄或者每次退出時(shí)刷新OpenId票灰,而在多終端登錄的情況下就會出現(xiàn)矛盾:當(dāng)一個(gè)終端刷新了OpenId之后其他終端將無法正常授權(quán)。而最終宅荤,我采用了單用戶多OpenId的解決方案屑迂。每次用戶通過用戶名/密碼登錄時(shí),產(chǎn)生一個(gè)OpenId保存在Redis里冯键,并且設(shè)定過期時(shí)間惹盼,這樣多個(gè)終端登錄就會有多個(gè)OpenId與之對應(yīng),不再會存在一個(gè)OpenId失效所有終端驗(yàn)證都失效的情況惫确。
