回顧6 單點登入
單點登入在現在的系統架構中廣泛存在,他將多個子系統的認證體系打通,實現了一個入口多處使用,而在架構單點登入時,也會遇到一些小問題,在不同的應用環境中可以採用不同的單點登入實現方案來滿足需求。
我將以我所遇到的應用環境以及在其中所經歷的各個階段與大家分享,若有不足,希望各位不吝賜教。
一、共享Session
共享Session可謂是實現單點登入最直接、最簡單的方式。將使用者認證資訊保存於Session中,即以Session記憶體儲的值為使用者憑證,這在單個站點內使用是很正常也很容易實現的,而在使用者驗證、使用者資訊管理與業務應用分離的場景下即會遇到單點登入的問題,在應用體系簡單,子系統很少的情況下,可以考慮採用Session共享的方法來處理這個問題。
這個架構我使用了基於Redis的Session共享方案。將Session儲存於Redis上,然後將整個系統的全域性Cookie Domain設置於頂級域名上,這樣SessionID就能在各個子系統間共享。
這個方案存在著嚴重的擴充套件性問題,首先,ASP.NET的Session儲存必須為SessionStateItemCollection物件,而儲存的結構是經過序列化後經過加密儲存的。
並且當用戶訪問應用時,他首先做的就是將儲存容器裡的所有內容全部取出,並且反序列化為SessionStateItemCollection物件。這就決定了他具有以下約束:
Session中所涉及的型別必須是子系統中共同擁有的(即程式集、型別都需要一致),這導致Session的使用受到諸多限制;
跨頂級域名的情況完全無法處理;
二、基於OpenId的單點登入
這種單點登入將使用者的身份標識資訊簡化為OpenId存放於客戶端,當用戶登入某個子系統時,將OpenId傳送到服務端,服務端根據OpenId構造使用者驗證資訊,多用於C/S與B/S相結合的系統,流程如下:
由上圖可以看到,這套單點登入依賴於OpenId的傳遞,其驗證的基礎在於OpenId的儲存以及傳送。
當用戶第一次登入時,將使用者名稱密碼傳送給驗證服務;
驗證服務將使用者標識OpenId返回到客戶端;
客戶端進行儲存;
訪問子系統時,將OpenId傳送到子系統;
子系統將OpenId轉發到驗證服務;
驗證服務將使用者認證資訊返回給子系統;
子系統構建使用者驗證資訊後將授權後的內容返回給客戶端。
這套單點登入驗證機制的主要問題在於他基於C/S架構下將使用者的OpenId儲存於客戶端,在子系統之間傳送OpenId,而B/S模式下要做到這一點就顯得較為困難。為了處理這個問題我們將引出下一種方式,這種方式將解決B/S模式下的OpenId的儲存、傳遞問題。
三、基於Cookie的OpenId儲存方案
我們知道,Cookie的作用在於充當一個資訊載體在Server端和Browser端進行資訊傳遞,而Cookie一般是以域名為分割的,例如a.xxx.com與b.xxx.com的Cookie是不能互相訪問的,但是子域名是可以訪問上級域名的Cookie的。即a.xxx.com和b.xxx.com是可以訪問xxx.com下的Cookie的,於是就能將頂級域名的Cookie作為OpenId的載體。
驗證步驟和上第二個方法非常相似:
在提供驗證服務的站點裡登入;
將OpenId寫入頂級域名Cookie裡;
訪問子系統(Cookie裡帶有OpenId)
子系統取出OpenId通過並向驗證服務傳送OpenId
返回使用者認證資訊
返回授權後的內容
在以上兩種方法中我們都可以看到通過OpenId解耦了Session共享方案中的型別等問題,並且構造使用者驗證資訊將更靈活,子系統間的驗證是相互獨立的,但是在第三種方案裡,我們基於所有子系統都是同一個頂級域名的假設,而在實際生產環境裡有多個域名是很正常的事情,那麼就不得不考慮跨域問題究竟如何解決。
四、B/S多域名環境下的單點登入處理
在多個頂級域名的情況下,我們將無法讓各個子系統的OpenId共享。處理B/S環境下的跨域問題,我們首先就應該想到JSONP的方案。
驗證步驟如下:
使用者通過登入子系統進行使用者登入;
使用者登入子系統記錄了使用者的登入狀態、OpenId等資訊;
使用者使用業務子系統;
若使用者未登入業務子系統則將使用者跳轉至使用者登入子系統;
使用者子系統通過JSONP介面將使用者OpenId傳給業務子系統;
業務子系統通過OpenId呼叫驗證服務;
驗證服務返回認證資訊、業務子系統構造使用者登入憑證;(此時使用者客戶端已經與子業務系統的驗證資訊已經一一對應)
將使用者登入結果返回使用者登入子系統,若成功登入則將使用者跳轉回業務子系統;
將授權後的內容返回客戶端;
五、安全問題
經過以上步驟,跨域情況下的單點登入問題已經可以得到解決。而在整個開發過程初期,我們採用使用者表中記錄一個OpenId欄位來儲存使用者OpenId,而這個機制下很明視訊記憶體在一些安全性、擴充套件性問題。這個擴充套件性問題主要體現在一個方面:OpenId的安全性和使用者體驗的矛盾。
整個單點登入的機制決定了OpenId是會出現在客戶端的,所以OpenId需要有過期機制,假如使用者在一個終端登入的話可以選擇在使用者每次登入或者每次退出時重新整理OpenId,而在多終端登入的情況下就會出現矛盾:當一個終端重新整理了OpenId之後其他終端將無法正常授權。
而最終,我採用了單使用者多OpenId的解決方案。每次使用者通過使用者名稱/密碼登入時,產生一個OpenId儲存在Redis裡,並且設定過期時間,這樣多個終端登入就會有多個OpenId與之對應,不再會存在一個OpenId失效所有終端驗證都失效的情況。