联合权限（Federated Identity)的架构问题？ 第1页

我觉得这是一个比较正常的架构和需求。

首先谈两个概念：

身份验证 Authentication

授权 Authorization

事实上我发现有相当大一部分人分不清这两者，这也是造成很多困扰的原因。

你们需要的应该是统一身份验证管理，从架构上来说你们公司的架构思路是很正确的，

不如设置一个中间件，向两个服务器分别登录。先登录主服务器，再让主服务器授权次服务器一个加密的token，去登录次服务器。两个token给用户，两次询问主服务器和次服务器。

所谓SSO（单点登录），实现一般是中心身份验证，表现效果就是在任何一个地方获得了身份验证（登录），去同一个体系内的其他地方的时候无需再次进行身份验证。

实现方式各异，但思路是一致的。简单来说就是一台中心身份验证服务器负责身份验证并发放验证Token，其他服务器在收到Token时找中心服务器验证Token的合法性和获取身份信息。

根据你的描述来说的话，你所需要的是统一身份验证，而分散式授权管理（也就是每台服务器都管自己的授权）。

我能给出的建议是，设立一台服务器（或多台，总之一个数据库）做中心身份验证，验证用户名和密码，并发放登录Token。

客户端先去中心身份验证服务器登录，获得登录Token后，访问其他应用服务器时，将Token发给服务器，此时应用服务器将Token发给中心身份验证服务器验证，根据Token的设计（包含身份信息或不包含），中心身份验证服务器返回身份验证信息或者只需要确认Token是否合法（若Token包含身份验证信息）。然后应用服务器根据Token的过期时间做相应的身份验证缓存，下次客户端请求时将不必到中心身份验证服务器验证。

接下来就是应用服务器根据身份验证信息确认是否有权限了，并返回相应结果。

思路大体上就是这样，不管采用哪种解决方案，思路都是大同小异的。若是在Windows平台构建，用于企业内部的管理系统，那么也可以考虑ActiveDirectory，ActiveDirectory本质上就是一个中心身份验证+中心/分布式授权体系。