一、前言
單點登錄在現在的系統架構中廣泛存在,他將多個子系統的認證體系打通,實現了一個入口多處使用,而在架構單點登錄時,也會遇到一些小問題,在不同的應用環境中可以采用不同的單點登錄實現方案來滿足需求。
二、實現方式
1. 共享session
共享Session可謂是實現單點登錄最直接、最簡單的方式。將用戶認證信息保存於Session中,即以Session內存儲的值為用戶憑證,這在單個站點內使用是很正常也很容易實現的,而在用戶驗證、用戶信息管理與業務應用分離的場景下即會遇到單點登錄的問題,在應用體系簡單,子系統很少的情況下,可以考慮采用Session共享的方法來處理這個問題。
這個架構我使用了基於Redis的Session共享方案。將Session存儲於Redis上,然后將整個系統的全局Cookie Domain設置於頂級域名上,這樣SessionID就能在各個子系統間共享。
這個方案存在着嚴重的擴展性問題,首先,ASP.NET的Session存儲必須為SessionStateItemCollection對象,而存儲的結構是經過序列化后經過加密存儲的。
並且當用戶訪問應用時,他首先做的就是將存儲容器里的所有內容全部取出,並且反序列化為SessionStateItemCollection對象。
這就決定了他具有以下約束:
a. Session中所涉及的類型必須是子系統中共同擁有的(即程序集、類型都需要一致),這導致Session的使用受到諸多限制;
b. 跨頂級域名的情況完全無法處理;
2. 基於OpenId的單點登錄
這種單點登錄將用戶的身份標識信息簡化為OpenId存放於客戶端,當用戶登錄某個子系統時,將OpenId傳送到服務端,服務端根據OpenId構造用戶驗證信息,多用於C/S與B/S相結合的系統,流程如下:
由上圖可以看到,這套單點登錄依賴於OpenId的傳遞,其驗證的基礎在於OpenId的存儲以及發送。
1.當用戶第一次登錄時,將用戶名密碼發送給驗證服務;
2.驗證服務將用戶標識OpenId返回到客戶端;
3.客戶端進行存儲;
4.訪問子系統時,將OpenId發送到子系統;
5.子系統將OpenId轉發到驗證服務;
6.驗證服務將用戶認證信息返回給子系統;
7.子系統構建用戶驗證信息后將授權后的內容返回給客戶端。
這套單點登錄驗證機制的主要問題在於他基於C/S架構下將用戶的OpenId存儲於客戶端,在子系統之間發送OpenId,而B/S模式下要做到這一點就顯得較為困難。為了處理這個問題我們將引出下一種方式,這種方式將解決B/S模式下的OpenId的存儲、傳遞問題。
3. 基於Cookie的OpenId存儲方案
我們知道,Cookie的作用在於充當一個信息載體在Server端和Browser端進行信息傳遞,而Cookie一般是以域名為分割的,例如a.xxx.com與b.xxx.com的Cookie是不能互相訪問的,但是子域名是可以訪問上級域名的Cookie的。即a.xxx.com和b.xxx.com是可以訪問xxx.com下的Cookie的,於是就能將頂級域名的Cookie作為OpenId的載體。
驗證步驟和上第二個方法非常相似:
1、 在提供驗證服務的站點里登錄;
2、 將OpenId寫入頂級域名Cookie里;
3、 訪問子系統(Cookie里帶有OpenId)
4、 子系統取出OpenId通過並向驗證服務發送OpenId
5、 返回用戶認證信息
6、 返回授權后的內容
在以上兩種方法中我們都可以看到通過OpenId解耦了Session共享方案中的類型等問題,並且構造用戶驗證信息將更靈活,子系統間的驗證是相互獨立的,但是在第三種方案里,我們基於所有子系統都是同一個頂級域名的假設,而在實際生產環境里有多個域名是很正常的事情,那么就不得不考慮跨域問題究竟如何解決。
4. B/S多域名環境下的單點登錄處理
在多個頂級域名的情況下,我們將無法讓各個子系統的OpenId共享。處理B/S環境下的跨域問題,我們首先就應該想到JSONP的方案。
驗證步驟如下:
1、 用戶通過登錄子系統進行用戶登錄;
2、 用戶登錄子系統記錄了用戶的登錄狀態、OpenId等信息;
3、 用戶使用業務子系統;
4、 若用戶未登錄業務子系統則將用戶跳轉至用戶登錄子系統;
5、 用戶子系統通過JSONP接口將用戶OpenId傳給業務子系統;
6、 業務子系統通過OpenId調用驗證服務;
7、 驗證服務返回認證信息、業務子系統構造用戶登錄憑證;(此時用戶客戶端已經與子業務系統的驗證信息已經一一對應)
8、 將用戶登錄結果返回用戶登錄子系統,若成功登錄則將用戶跳轉回業務子系統;
9、 將授權后的內容返回客戶端;
三、安全問題
經過以上步驟,跨域情況下的單點登錄問題已經可以得到解決。而在整個開發過程初期,我們采用用戶表中紀錄一個OpenId字段來保存用戶OpenId,而這個機制下很明顯存在一些安全性、擴展性問題。這個擴展性問題主要體現在一個方面:OpenId的安全性和用戶體驗的矛盾。
整個單點登錄的機制決定了OpenId是會出現在客戶端的,所以OpenId需要有過期機制,假如用戶在一個終端登錄的話可以選擇在用戶每次登錄或者每次退出時刷新OpenId,而在多終端登錄的情況下就會出現矛盾:當一個終端刷新了OpenId之后其他終端將無法正常授權。
而最終,我采用了單用戶多OpenId的解決方案。每次用戶通過用戶名/密碼登錄時,產生一個OpenId保存在Redis里,並且設定過期時間,這樣多個終端登錄就會有多個OpenId與之對應,不再會存在一個OpenId失效所有終端驗證都失效的情況。