百科问答小站 logo
百科问答小站 font logo



联合权限(Federated Identity)的架构问题? 第1页

  

user avatar   Ivony 网友的相关建议: 
      

我觉得这是一个比较正常的架构和需求。

首先谈两个概念:

身份验证 Authentication

授权 Authorization


事实上我发现有相当大一部分人分不清这两者,这也是造成很多困扰的原因。

你们需要的应该是统一身份验证管理,从架构上来说你们公司的架构思路是很正确的,

不如设置一个中间件,向两个服务器分别登录。先登录主服务器,再让主服务器授权次服务器一个加密的token,去登录次服务器。两个token给用户,两次询问主服务器和次服务器。


所谓SSO(单点登录),实现一般是中心身份验证,表现效果就是在任何一个地方获得了身份验证(登录),去同一个体系内的其他地方的时候无需再次进行身份验证。

实现方式各异,但思路是一致的。简单来说就是一台中心身份验证服务器负责身份验证并发放验证Token,其他服务器在收到Token时找中心服务器验证Token的合法性和获取身份信息。


根据你的描述来说的话,你所需要的是统一身份验证,而分散式授权管理(也就是每台服务器都管自己的授权)。

我能给出的建议是,设立一台服务器(或多台,总之一个数据库)做中心身份验证,验证用户名和密码,并发放登录Token。

客户端先去中心身份验证服务器登录,获得登录Token后,访问其他应用服务器时,将Token发给服务器,此时应用服务器将Token发给中心身份验证服务器验证,根据Token的设计(包含身份信息或不包含),中心身份验证服务器返回身份验证信息或者只需要确认Token是否合法(若Token包含身份验证信息)。然后应用服务器根据Token的过期时间做相应的身份验证缓存,下次客户端请求时将不必到中心身份验证服务器验证。

接下来就是应用服务器根据身份验证信息确认是否有权限了,并返回相应结果。


思路大体上就是这样,不管采用哪种解决方案,思路都是大同小异的。若是在Windows平台构建,用于企业内部的管理系统,那么也可以考虑ActiveDirectory,ActiveDirectory本质上就是一个中心身份验证+中心/分布式授权体系。




  

相关话题

  如何把一个文件快速分发到 100w 个服务器? 
  《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息? 
  如何看待2016山东考生南邮准大学生徐玉玉被骗钱9900元后,郁结于心离世? 
  黑客有可能攻击已经关机的电脑吗(有电源,网线连着)? 
  如何看待「屏幕共享功能」被利用进行网络诈骗?还有哪些需要注意的互联网诈骗手段? 
  用工具的人能称得上的黑客吗? 
  深度学习在信息安全的应用有哪些可以关注的人或论文? 
  为什么前端老觉得后端简单? 
  课堂上传纸条如何防范中间人攻击? 
  信息安全前沿技术有哪些? 

前一个讨论
Html.ActionLink怎么包裹其他代码?
下一个讨论
如何通俗地解释 C、C++、C#、Java、JavaScript、HTML、Python的用处?





© 2025-05-28 - tinynew.org. All Rights Reserved.
© 2025-05-28 - tinynew.org. 保留所有权利