浅谈跨域多点SSO(多注册服务器的SSO)
多点SSO,我们这里可以理解为有多个注册服务器的SSO,也可以理解为分布式SSO,也即是用户的注册信息是分布在多台服务器上的,这类技术其实在现在来说是相对比较成熟的,比如tencent,skepy,互联星空等等大型的应用,比如Tencent的号码上亿,如果用一台服务器集中存储或者是只用一个群集来集中认证,那么所带来的漫长的等待是我们所不能忍受的。所以我们需要多点SSO。不过窃以为Tencent的QQ从技术上不应该用多点SSO来表述,而且实质上也不是SSO技术,而是Tencent自己的P2P协议来完成的。就自己的经验看来,其实多点SSO(着重是实现跨域服务器之间的分布式SSO)最好的例子应该是互联星空平台,限于保密协议的关系我们不继续讨论互联星空,我们来说多点的SSO。
就技术上来说,多点SSO存在一下几点难题:
- 多个注册服务器间的用户认证标示防止重复
- 用户注册地址的定位
- 跨域的认证状态同步(所有SSO都要解决的问题)
- 注销登录状态的问题
对于第一点,一般来说可以借鉴SIP协议的方式。我们将用户的ID分成两段,前一段是注册站点内的ID然后在@后是网站的域名,结构上和Email地址差不多譬如Alexander-lee@cnblogs.com,假设cnblogs.com就是我注册的站点,在注册的时候我只需要输入Alexander-lee,然后自动在尾巴上给我加上@cnblogs.com。这样子每个站点注册的时候限制就可以达到最小。
同时,这个方式还可以达到定位用户注册服务器地址的作用,我们可以使用后面的域名信息来定位用户的注册位置,还是Alexander-lee@cnblogs.com,识字的人看到都知道在cnblogs.com注册的。
然后是跨域认证状态同步的问题。这个在拙作http://www.cnblogs.com/Alexander-Lee/archive/2007/01/27/631962.html中已经描述的很清楚,也是大多数SSO所采用的做法(个人不建议使用跨域Cookie或者js注入等技术,都容易被严格点的浏览器挡获)。
最后是注销登录状态的问题,这个在我原来的Post里面没有提到,对于单点SSO来说还算是比较简单的。但是对于多点SSO来说确是比较烦琐的事情了,因为需要清除多个服务器上的Cookie,还不能借助JS等客户端技术来完成的。最简单的方式就是所有站点全部使用非持久的Cookie,关闭浏览器就全部都失效了。但是如果是持久Cookie的话,个人来说还没有很好的主意,有一个想法就是在协议里规定一个Cookie用来存储所有登录过的服务器,然后在注销的时候一次一次的转跳到注销的接口页面(笨办法,期待高人给出比较简单的解决方案)。
其实写这些东西是因为看了http://www.cnblogs.com/chinaxiaofei/archive/2007/09/28/909920.html 这位高手的Post,看后感觉有很多问题没有谈到,也不是很完善,所以发此贴期待共同讨论。
