用歷史觀來看一種技術的演進,稱之為“技術血脈”。
十年前,靜兒做的是傳統軟件的項目,都是企業定制的項目,系統安裝在企業的機器上,通過硬件來做物理隔離。系統的安全訪問控制靠操作系統來保證。
在互聯網大潮中,B/S逐漸流行,對於這類從傳統軟件轉化來的項目,一般采用的是用戶名密碼登陸的鑒權方式。為了對用戶身份做認證,一般采用的是郵箱認證。09年的時候,靜兒還在人人網,當時在研究自動化測試。有段時間有個小公司在搞活動,新注冊用戶可以抽獎,中獎率特別高。靜兒就用自動化測試工作批量注冊郵箱和此網站用戶,刷出來好多小禮物。充分驗證了自己的自動化測試工具的實用性。
當時,雖然各個網站還沒有開始使用驗證碼。但是靜兒那時候做過爬蟲,對於爬蟲這類攻擊,很多網站還是采取了一定策略的。最常見的就是對IP做流量控制。比如半小時內不能點擊超過2萬次,超過則自動返回訪問受限制,半小時后自動恢復。如果這件事情反復發生,被后台工作人員檢測到,可以加入黑名單。
用戶注冊有一部分是“連攜”的,這是個日語詞,中文應該叫合作吧。就是下面的“其他方式登錄”。這種實現到現在為止業界也還是采用oauth來實現,靜兒八年前的項目經歷完全可以排上用場。
再后來網站對於用戶注冊開始使用驗證碼了。驗證碼的實現類似於分布式session的實現,都是在服務端保存一個客戶端key對應的value。只是驗證碼的value只是一個字符串。靜兒那時候都是采用分布式緩存作為服務端驗證碼的存儲工具。
在人人網工作四年之后,靜兒出去面試,朋友給介紹了一個做PaaS的公司,按現在的話說就是雲CRM。當時是在公司樓下一家咖啡館,他們CTO帶着一個兄弟過來,請我喝咖啡,讓我聊聊訪問控制,因為他們當時這塊沒有很好的解決方案。我就說了一下RBAC(基於角色的訪問控制)的思路。
靜兒去了一家創業公司,因為項目規模小了,公司也沒有統一的基礎設施,權限認證這些都是自己來實現。本着只采用成熟的技術的原則,對於后台管理,當時靜兒用的是Spring Security。Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全訪問控制功能解決方案的安全框架。
它支持認證一體化如下認證技術:
HTTP BASIC authentication headers(一個基於IEFT RFC的標准)
HTTP Digest authentication headers(一個基於IEFT RFC的標准)
HTTP X.509 client certificicate exchange(一個基於IEFT RFC的標准)
LDAP(一個非常常見的跨平台認證方法)
Form-based authentication(提供簡單用戶接口的需求)
OpenID authentication
Computer Associates Siteminder
JA-SIG Central Authentication Service(CAS,一個開源的單點登錄系統)
Transparent authentication context propagation for Remote Method Invocation and HttpInvoker(一個Spring遠程調用協議)
兩年后,為了實現7年前定的“要作為技術人員去國外出差”的目標,靜兒入職了樂視。自然,全公司統一獨立部署的SSO(單點登錄)是必不可少的。嚴格來說,靜兒那時候做的限流也是安全訪問控制的一部分。
新美大這邊的鑒權與安全訪問控制就比較多了。SSO鑒權作為一個基礎組件提供客戶端和服務端自然是最基本的。在此基礎上添加了新美大自研的基於角色權限控制。但是對於一些接口維度的,根據實際情況,會采用一些BA認證。比如根據token來指定配額。對於一些底層服務,內部也肯定會用到TLS做認證。
后記
大家可能注意到靜兒的前幾篇文章比較注重自下而上思考,自上而下表達的結構化思維,而本篇是歷史序的縱向思維。
作為技術人員,從各個維度對技術對項目做思考是一種基本意識。武功境界中所謂“人劍合一”的原理也是多練習多思考的結果。而技術人員想達到“人技合一”必然要從各個維度積累沉淀。
靜兒,20歲時畢業於東北大學計算機系。在畢業后的第一家公司由於出眾的語言天賦,在1年的時間里從零開始學日語並以超高分通過了國際日語一級考試,擔當兩年日語翻譯的工作。后就職於人人網,轉型做互聯網開發。中國科學院心理學研究生。有近百個技術發明專利,創業公司合伙人。有日本東京,美國硅谷技術支持經驗。目前任美團點評技術專家(歡迎關注靜兒的個人技術公眾號:編程一生),心法文章可參考我的《自動化管理之新人培養》
技術交流可關注我的github:https://github.com/xiexiaojing
關注靜兒公眾號,不定期漫畫技術推送~
