SAM: Simple Access Manager Design
0 likes478 views
本文档介绍了SAM(简单访问管理)作为Web应用程序的访问管理解决方案,重点讨论了身份验证和授权机制,包括单点登录功能。文档还对比了插件和代理架构,探讨了基于CAS(中央认证服务)的访问管理方案。最后,提出了会话存储服务的设计思路以及未来发展方向的初步设想。
SAM: Simple Access Manager Design
- 1. SAM:a simple access manager for web applications Donnie Cai , Liang Ma July 22, 2010 1 概述 Web 访问管理是决定一个用户(或应用)的身份的过程。这通常是由 一个用户名和密码提示。其他身份验证方法,也可以包括访问令牌(即生 成一次性密码)和数字证书。一旦用户(或程序)的身份得到确认,基于 策略的授权发挥作用, 这通常包括: • 确定用户上次登录时间 • 确定尝试访问受保护的资源 • 记录的任何异常行为 对于最终用户,访问管理应该可以配合相关鉴权系统一起,提供单点登录。 单点登录的过程,是一个用户一次登录到一个 Web 资源,然后将自动登 录到所有其他相关的和受保护的资源。用户可以不便当试图获得认证的整 个一天(当然要多个网站可能每个不同的用户名和密码) 。一个 Web 访问 管理产品可以记录的初步验证,并提供了一个 cookie,作为一个为验证所 有受保护的资源临时令牌授权行为的用户,从而使用户只登录一次。 通常访问管理有两种不同类型的架构实现:插件 (Agent) 和代理 (Proxy)。 插件模式通常需要将服务程序安装在每个节点应用程序服务器上,并 在每一个网页的请求调用。他们拦截 Web 请求,并询问外部策略服务器, 以便作出这些决定。这种基础架构的好处之一是,他们可以高度为特定 Web 服务器的独特需求而定制。其显著缺点之一是,需要在每个应用服务 器上去实现服务程序。 1
- 2. 2 现 2 基于代理的架构不同,所有 Web 请求都通过代理服务器路由到后端的 应用服务器。基于代理的体系结构的好处之一是可以依赖一个标准的协议 保障实现。 2 现状 在互联网领域目前常用的访问管理方案是 CAS(Central Authentication Service)。 从 结 构 上 看, 它 包 含 两 个 部 分: CAS Server 和 CAS Client。 CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理 对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。下 面是其最基本的协议过程: 3 方案 3.1 介绍 SAM 基于 CAS 架构. 涉及到的角色有:
- 3. 3 方案 3 • Application, 接入应用 (可跨域) • Validate, 鉴权服务 • Login, 登录服务 • Logout, 登出服务 3.2 流程和结构 ticket 由当前 session,userid,timestamp 哈希得到。 3.3 Session Arch Session 是典型的 schema less 数据结构. 这种数据存放在传统的关系型 数据库中, 将会造成巨大的稀疏矩阵, 从而降低数据库运行效率; 如果简单的 放入键值对存储, 那么其有限的查询能力将会限制应用业务需求的实现。 会话存储服务将被设计成 • Query in Memeroy
- 4. 3 方案 4 • Snapshot files • Non-volatile RAM • Lifecycle api 3.4 路线图 未完待续... Powered by LTEX. A