统一用户认证方案思路
实现目标:
1.实现单点登录,使用单点登录帐号登录后,可访问多个被授权的系统。
2.尽量不让用户进行客户端安装,有些技术如CAS,SAML,P3P欢迎点评
免登录访问方式可能存在:
1、当前系统界面连接其他系统的界面,(场景:多系统集成一个系统)
2、当前系统访问其他系统的有验证的服务接口, (场景: 访问被授权的系统的服务)
3、在新的浏览器标签页直接打开其他系统的页面 。(场景: 进入其他系统免登录)
2.增强安全验证性,采用 cookie,token,session,和安全令牌securityCard形式
1、cookie记录了用户的登录信息token,
2、session可获得访问者的IP,
3、安全令牌用于记录单点登录用户访问的唯一凭证.
4、敏感信息(金钱,核心内容)或者防恶意请求(如盗号)可考虑动态密码和访问频率来控制(未来有需要时)
3.增强用户体验性
1.已登录的个人资料编辑,增加上传头像
2.用户管理,分组管理,角色管理,权限管理界面交互修改更友好
3.用户直接访问某系统子页面时,如果未登录则弹出登录,登录后重定向到指定子页面。
4.对于一些特殊的http请求错误给予友好error.html提示,如404.500,302等.
存在问题:
1.多个系统可能有多套自身用户管理,另外有可能第三方系统有可能接入;
2.多个系统可能共用一套用户管理;
3.单点登录用户和各系统之间的关系如何。
解决方案:
1.针对问题1: 设立uum认证中心;
提供应用系统单点登录角色配置的注册,更新,和注销等接口(即应用系统加入认证中心的操作);
提供应用系统之间授权的添加,更改,删除等接口;
提供所有注册系统的注册信息的查询接口;
提供在线单点登录用户的查询,退出,登录等;
对接口的信息中有必要包含授权期限等。
2.针对问题2:
优化应用系统的用户管理模块,支持区分存储不同域名的权限;
将统一的用户管理角色注册到uum认证中心,并对个系统相互授权;
建议将统一的用户管理界面开放给某个系统的用户进行统一操作。
3.针对问题3:
应用系统有自身的用户管理体系,如果想加入单点登录群组,需要建立如下规则:
应用系统向认证中心发起请求的元单位为角色,即单独登录的用户需要在认证中心里判别角色;
需要设立单点登录的角色,然后将自身系统的角色与其匹配;
应用系统用户管理中可以将单点登录角色授权给其他系统,也可查看被其他系统授权的信息;
认证中心只管角色,可对加入的应用系统进行注册信息统一管理(另行处理) ,但是角色的访问权限由各个系统复制管理。
4.单独登录配置:
1.应用系统提交xml格式注册到uum认证中心,包括信息:系统ID,角色名称(可多个),到期时间等,并可修改。
2.应用系统可将单点登录角色赋给其他系统对应的角色,可为一对多,包括到期时间等必要的信息。
3.认证中心可对应用系统提交的部分信息进行一些甑别和修改。
5.单点登录访问步骤:
1.用户访问A系统,输入用户名,密码;
2.A系统登录成功,
发现是该用户角色为单点登录角色,
重定向uum认证中心登录界面,并传送参数以及A系统回调路径,
uum认证解析参数,检查角色是否过期,生成安全令牌,再重定向回应用系统;
此时产生了应用系统和认证中心两个系统的连接。
3.用户访问B系统主页,B系统发现没有在自己服务器上登录,
重定向uum认证中心登录界面,并传送参数以及B系统回调路径,
uum认证发现已经登录,返回用户角色相应信息以及安全令牌重定向给B系统,
B系统登录成功。
6.安全验证: