SpringSecurity OAuth2.0-第10章: 分布式系统以及认证方案

原创已于 2025-10-19 18:06:08 修改 · 847 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#分布式

于 2021-08-17 23:24:29 首次发布

spring security oauth 分布式认证授权专栏收录该内容

24 篇文章

订阅专栏

本文探讨了分布式系统的基本概念，包括其分布性、伸缩性和共享性特点，重点分析了基于session和token的认证方案优劣，以及在OAuth2.0框架下的统一认证流程。特别关注了token认证在移动互联网和微服务架构中的应用.

2.3 基于session认证与token认证

2.4 技术方案认证

2.4.1 分布式认证流程图

一分布式系统

1.1 分布式系统概念

软件的架构由单体结构演变为分布式架构，具有分布式架构的系统叫分布式系统。

分布式系统的运行 通常依赖网络，它将单体结构的系统分为若干服务，服务之间通过网络交互来完成用户的业务处理 ，当前流行的微服务架构就是分布式系统架构：

1.2 分布式系统的特点

分布式系统具体如下基本特点：

1 、 分布性 ：每个部分都可以独立部署，服务之间交互通过网络进行通信，比如：订单服务、商品服务。

2 、 伸缩性 ：每个部分都可以集群方式部署，并可针对部分结点进行硬件及软件扩容，具有一定的伸缩能力。

3 、共享性：每个部分都可以作为共享资源对外提供服务，多个部分可能有操作共享资源的情况。

4 、开放性：每个部分根据需求都可以对外发 布共享资源的访问接口 ，并可允许第三方系统访问。

1.3 分布式认证要求

1.统一认证授权

2.应用接入认证

二认证方案

2.1 基于session认证

在分布式的环境下，基于 session 的认证会出现一个问题，每个应用服务都需要在 session 中存储用户身份信息，通过负载均衡将本地的请求分配到另一个应用服务需要将session 信息带过去，否则会重新认证。

这个时候，通常的做法有下面几种：

1.将通过ningx制定ip哈希轮询策略，将一台机器制定一直访问某台机器，session信息在这台机器进行存储。

2.在其中一台机器产生session信息后，通过复制操作，复制到其他节点上去。（如果节点过多，此方案不靠谱，有些节点还没有轮到复制，就被点到进行访问，结果上面没有session信息）

3. 将session信息集中到一台机器上进行存储，常用的有redis服务器。

总体来讲，基于 session 认证的认证方式，可以更好的在服务端对会话进行控制，且安全性较高。但是， session 机制方式基于cookie ，在复杂多样的移动客户端上不能有效的使用，并且无法跨域，另外随着系统的扩展需提高 session的复制、黏贴及存储的容错性。

2.2 基于token认证

基 于token的认证方式，服务端不用存储认证数据，易维护扩展性强，客户端可以把token 存在任意地方，并且可以实现web和app统一认证机制 。其缺点也很明显， token由于自包含信息 ，因此一般数据量较大，而且每次请求都需要传递，因此比较占带宽。另外， token的签名验签操作也会给cpu带来额外的处理负担。