C/S架构程序多种类服务器之间实现单点登录（转）

（一）

在项目开发的过程中，经常会出现这样的情况：我们的产品包括很多，以QQ举例，如登陆、好友下载、群下载、网络硬盘、QQ游戏、QQ音乐等，总不能要求用户每次输入用户名、密码吧，为解决这个问题，高手提出了一个很好的跨平台、跨应用的身份验证解决方案，那就是——单点登录（Single Sign On），简称为 SSO。
一、 什么是单点登录（Single Sign On）
单点登录（SSO，Single Sign-on）是一种方便用户访问多个系统的技术，用户只需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重复输入用户名和密码来确定身份。
二、如何实现单点登录（SSO）
1、整体设计思路
首先我们要明确单点登录的运行模式，即统一身份验证，在解决方案中，一般通过认证服务器（LoginServer）实现用户身份验证，验证通过后将自动随机生成身份验证票据，并将身份验证票据发送给用户，待用户访问其他应用时，只对身份验证票据进行合法性验证即可。
2、认证服务器（LoginServer）实现的功能
在解决方案中，LoginServer提供的功能包括用户名/密码验证、身份验证票据的生成、身份验证票据的合法性验证这三个最基本的功能，其他功能可以根据用户的需求，自行扩展。
由于LoginServer基于网络通讯，使用TCP或UDP协议，所以其本身是跨平台的，只要各个应用在开发过程中使用的开发语言支持身份验证票据验证，即可调用身份验证平台进行相关的操作。
3、身份验证票据
所谓身份验证票据就是用户身份验证通过后，发给用户用以标示身份验证通过的信息。身份验证票据中可以加密保存用户的身份信息或某一特定的验证信息等，一般使用对称加密，方便在身份验证票据合法性的检查中进行相应的解密。C/S结构的程序，票据保存比较方便，只要其他应用能够取到就可以。
4、验证票据
用户拿到身份验证票据后，当登录B系统时，把这个票据传给B系统，B系统拿这个票据系统到LoginServer进行认证即可。

（二）

在上面文档中，初步介绍了S架构程序多种类服务器之间实现单点登录的流程，可是当用户量巨大或某项产品的重复登录频繁时，这种单点登录（SSO）实现就出现了瓶颈，如下：
多台LoginServer服务器之间共享数据比较困难，只能通过共享内存或数据库共享，很难跨机房部署。
随着业务量的增加，LoginServer服务的需求量也直线上升，而且出现问题的概率很高，经常造成正常用户的认证失败。
为解决上述问题，建议票据的认证有子系统的服务器完成，从而降低出现问题的概率，减少服务器压力。具体的方法如下：
1、加密身份验证票据
LoginServer服务器使用对称加密算法加密身份验证票据，如RC6、AES和Blowfish等，票据内容包括用户名、认证时间、IP地址、自定义数据等信息。客户端登录后，LoginServer把加密后的密串通知给客户端。
2、验证身份票据
其他系统和LoginServer服务器共享对称加密算法和密钥，拿到客户端的密串后使用相同算法和密钥解密，然后对比用户名、认证时间、IP地址、自定义数据等，如相同则允许登录。
3、安全问题
我们知道对称加密算法的破解是有可能的，在算法已知的情况下，密钥、明文、密文，三者得到两者可以计算出另外一个；在上述方法中，明文增加了自定义数据，用户名、认证时间每个用户都不同，所以黑客一般无法取得正常明文；我们只向客户端通知密文，所以客户端应不能通过密文穷举得到明文+密钥，所以无法破解。
4、源代码泄露
如果服务器源代码泄露，则可能泄露加密算法、密钥、明文等；此时的补救方法是及时更新密钥、调整自定义数据，所有产品都需要同时更新，明文和密钥都发生变化，泄露代码的风险就可以忽略了。
如果服务器架构足够智能，则可以定时更新密钥和自定义数据，如每个月更新一次，则整个实现体系就非常安全了；更新密钥时切记做好兼容工作，确保更新前用户取得的身份票据有一定的时间可以验证成功。
5、使用范围
上面这个方法用于自己公司的服务器之间没有问题，但如果是要登录其他合作伙伴的产品，则需要单独协商加密密钥和自定义数据即可。