一种全新的分布式用户认证架构设计

前言

分布式用户认证, 有个简单的称谓就是单点登陆, 即一处登陆,到处通行.
说详细一点就是,集中的用户统一身份认证和分布的式的用户验证和资源访问控制.
对于小公司而言,提供的服务少,常常用户认证和服务混合在一起,体会不到分布式用户认证好处.
随着公司规模的扩大,提供的服务越来越多,把用户认证和服务提供拆分开来,实现分布式用户认证,可降低系统的相互依赖性,提高系统的可扩展性.

常见的方案

基于普通token的方案.

这个方案通常在用户登录后,把用户信息储存与中心服务器, 同时给客户端一个普通token, 以后访问服务时均以此token识别用户身份. 这个token只是一个hash值,一个唯一的ID,自身不含用户信息,要辨别token的真伪,需要的中心服务器查询,这是一个集中用户认证的方案,简单易用,当可扩展性不高.

本文介绍一个新的方案

基于JSON Web Token(JWT)的方案.

JWT,简单的说就是把用户的公开信息和信息的签名合成一个字符串,保证信息无法伪造.详细可参考互联网上的资料。
JWT 和基于hash值的普通token的主要不同点:

  1. JWT 自身包含用户的公开信息。
  2. JWT 不用到中心服务器查询就可验证真伪。
    这些特点,使得JWT 很像现实生活中的身份证,签证等证件。
    这个方案,通过用户登陆后,中心服务器给客户端一个JWT,这个JWT包含用户的公开信息,还有用户权限等信息。之后,客户端访问服务时,就以这个JWT作为身份识别,而服务提供者,不用到中心服务器查询,自己可校验这个JWT的真伪。

以示范案例说明

以一个社区应用例,功能??槿缦?

  1. 发帖讨论的论坛模块
  2. 实时通信???/li>
  3. 收费的教育视频???/li>
  4. 收费的音乐???br> 当然,以上四部分都需要用户认证。
    这四个???,通常由四个项目组完成。

作为架构设计者,有两个重要的思想:

  1. 假设这四个??椋直鹩伤母龆懒⒌墓纠纯?。
  2. 每个模块不只我们公司用,其他公司也可用
    就是把API或是服务service 当做最终独立的产品来设计,这样就能设计出好的架构.

对于这个系统,我们看看用户认证系统如何设计?
抛开传统的登陆概念,传统的登陆通常只是登陆一个地方,访问一种服务.

当设计认证系统时,不要想我们在设计软件系统,就当在设计一个国家,没错一个虚拟的国家.
看看国家的分布式用户认证是怎么运作的?
以美国为例,移民局负责颁发用户签证,而里面的大学,酒店,企业就是各种服务提供者.
这里用户认证和服务提供是分开的.

要入境美国,首先得像移民局申请签证.
当用户拿着签证去住酒店时,酒店服务员会查看签证的真伪及有效期.
当用户拿着签证去住企业应聘时,企业会查看签证的真伪及有效期,还有就是权限,如果是旅游签证,对不起,旅游签证不能打工.
注意:签证是由移民局集中发行的,而校验确是分布的.
酒店服务员验证签证时,不会打电话到移民局查询真伪.

我们的用户认证系统,其实只要把这一套机制帮过来即可.
由统一的用户认证系统负责颁发签证,而用户访问各种服务时,持有这个签证就可以了.
用户认证后,我们可以把用户的公开信息如user id等,还有就是授权信息,比如6个月的视频教程授权,1个月的音乐授权等写到这个签证上,这样用户就可访问各种服务.
JWT 防伪有两类签名机制,一类是基于secretKey的Hash机制,一类是非对称签名机制.
第一类Hash机制,JWT的创建和验证使用同一个秘钥,仅适合公司内部用.对应开放平台,要开放给其他公司使用,需要采用非对称签名机制,这样创建和校验是两个秘钥,保证token的集中发行.

分布式JWT用户验证的问题.

分布式JWT用户验证的问题的一个问题是,Token 一旦发行,无法注销,只能等其自行失效.
这个不单是JWT的问题,所有可分布式验证的证件都有这个问题,包括身份证,签证,驾照等.
驾照丢了,去管理局注销,但这个注销,不会让丢失的驾照立即失效,除非驾照的验证是集中式的.
这也是为什么几乎所有的证件都有一个有效期的原因.

对应JWT,为了保证安全,我们可以使用一个比较短的有效期,同时采用一种以旧换新的机制,确保安全.
这个机制有点类似生活中的驾照年审或者签证延期,即每隔一段时间做一次审查并核发新证,由于不需要人工操作,我们的这个审查频率提高一些.

Token以旧换新的机制,请参看:
http://08643.cn/p/b4cf771e570e

注:现实生活中,护照和签证有些差别,对于软件系统这个差别就不考虑了,统一当成证明身份的证件.

最后编辑于
?著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,172评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,346评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事?!?“怎么了?”我有些...
    开封第一讲书人阅读 159,788评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,299评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,409评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,467评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,476评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,262评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,699评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,994评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,167评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,827评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,499评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,149评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,387评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,028评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,055评论 2 352

推荐阅读更多精彩内容