基于 token 的多平臺(tái)身份認(rèn)證架構(gòu)設(shè)計(jì)！

1、概述

在存在賬號(hào)體系的信息系統(tǒng)中，對(duì)身份的鑒定是非常重要的事情。

隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代到來(lái)，客戶端的類(lèi)型越來(lái)越多， 逐漸出現(xiàn)了 一個(gè)服務(wù)器，N個(gè)客戶端的格局 。

不同的客戶端產(chǎn)生了不同的用戶使用場(chǎng)景，這些場(chǎng)景：

• 有不同的環(huán)境安全威脅

• 不同的會(huì)話生存周期

• 不同的用戶權(quán)限控制體系

• 不同級(jí)別的接口調(diào)用方式

綜上所述，它們的身份認(rèn)證方式也存在一定的區(qū)別。

本文將使用一定的篇幅對(duì)這些場(chǎng)景進(jìn)行一些分析和梳理工作。

---

2、使用場(chǎng)景

下面是一些在IT服務(wù)常見(jiàn)的一些使用場(chǎng)景:

• 用戶在web瀏覽器端登錄系統(tǒng),使用系統(tǒng)服務(wù)

• 用戶在手機(jī)端（Android/iOS）登錄系統(tǒng),使用系統(tǒng)服務(wù)

• 用戶使用開(kāi)放接口登錄系統(tǒng),調(diào)用系統(tǒng)服務(wù)

• 用戶在PC處理登錄狀態(tài)時(shí)通過(guò)手機(jī)掃碼授權(quán)手機(jī)登錄（使用得比較少）

• 用戶在手機(jī)處理登錄狀態(tài)進(jìn)通過(guò)手機(jī)掃碼授權(quán)PC進(jìn)行登錄（比較常見(jiàn)）

通過(guò)對(duì)場(chǎng)景的細(xì)分,得到如下不同的認(rèn)證token類(lèi)別：

1、原始賬號(hào)密碼類(lèi)別

• 用戶名和密碼

• API應(yīng)用ID/KEY

2、會(huì)話ID類(lèi)別

• 瀏覽器端token

• 移動(dòng)端token

• API應(yīng)用token

3、接口調(diào)用類(lèi)別

• 接口訪問(wèn)token

• 身份授權(quán)類(lèi)別

• PC和移動(dòng)端相互授權(quán)的token

---

3、token的類(lèi)別

不同場(chǎng)景的token進(jìn)行如下幾個(gè)維度的對(duì)比:

天然屬性對(duì)比:

1、使用成本
本認(rèn)證方式在使用的時(shí)候,造成的不便性。比如:

• 賬號(hào)密碼需要用戶打開(kāi)頁(yè)面然后逐個(gè)鍵入

• 二維碼需要用戶掏出手機(jī)進(jìn)行掃碼操作

2、變化成本
本認(rèn)證方式,token發(fā)生變化時(shí),用戶需要做出的相應(yīng)更改的成本:

• 用戶名和密碼發(fā)生變化時(shí),用戶需要額外記憶和重新鍵入新密碼

• API應(yīng)用ID/KEY發(fā)生變化時(shí),第三方應(yīng)用需要重新在代碼中修改并部署

• 授權(quán)二維碼發(fā)生變化時(shí),需要用戶重新打開(kāi)手機(jī)應(yīng)用進(jìn)行掃碼

環(huán)境風(fēng)險(xiǎn)

• 被偷窺的風(fēng)險(xiǎn)

• 被抓包的風(fēng)險(xiǎn)

• 被偽造的風(fēng)險(xiǎn)

可調(diào)控屬性對(duì)比:

1、使用頻率

在網(wǎng)路中傳送的頻率

2、有效時(shí)間

此token從創(chuàng)建到終結(jié)的生存時(shí)間

最終的目標(biāo):安全和影響。

安全和隱私性主要體現(xiàn)在:

• token 不容易被竊取和盜用（通過(guò)對(duì)傳送頻率控制）

• token 即使被竊取,產(chǎn)生的影響也是可控的（通過(guò)對(duì)有效時(shí)間控制）

關(guān)于隱私及隱私破壞后的后果,有如下的基本結(jié)論:

• 曝光頻率高的容易被截獲

• 生存周期長(zhǎng)的在被截獲后產(chǎn)生的影響更嚴(yán)重和深遠(yuǎn)

遵守如下原則:

• 變化成本高的token不要輕易變化

• 不輕易變化的token要減少曝光頻率（網(wǎng)絡(luò)傳輸次數(shù)）

• 曝光頻率高的token的生存周期要盡量短

將各類(lèi)token的固有特點(diǎn)及可控屬性進(jìn)行調(diào)控后, 對(duì)每個(gè)指標(biāo)進(jìn)行量化評(píng)分（1~5分），我們可以得到如下的對(duì)比表：

備注:user_name/passwd 和 app_id/app_key 是等價(jià)的效果

---

4、token的層級(jí)關(guān)系

參考上一節(jié)的對(duì)比表，可以很容易對(duì)這些不同用途的token進(jìn)行分層，主要可以分為4層：

• 密碼層：最傳統(tǒng)的用戶和系統(tǒng)之間約定的數(shù)字身份認(rèn)證方式

• 會(huì)話層：用戶登錄后的會(huì)話生命周期的會(huì)話認(rèn)證

• 調(diào)用層：用戶在會(huì)話期間對(duì)應(yīng)用程序接口的調(diào)用認(rèn)證

• 應(yīng)用層：用戶獲取了接口訪問(wèn)調(diào)用權(quán)限后的一些場(chǎng)景或者身份認(rèn)證應(yīng)用

token的分層圖如下：

在一個(gè)多客戶端的信息系統(tǒng)里面,這些token的產(chǎn)生及應(yīng)用的內(nèi)在聯(lián)系如下:

• 用戶輸入用戶名和用戶口令進(jìn)行一次性認(rèn)證

• 在 不同 的終端里面生成擁有 不同 生命周期的會(huì)話token

• 客戶端會(huì)話token從服務(wù)端交換生命周期短但曝光 頻繁 的接口訪問(wèn)token

• 會(huì)話token可以生成和刷新延長(zhǎng) access_token 的生存時(shí)間

• access_token可以生成生存周期最短的用于授權(quán)的二維碼的token

使用如上的架構(gòu)有如下的好處：

• 良好的統(tǒng)一性?？梢越鉀Q不同平臺(tái)上認(rèn)證token的生存周期的 歸一化 問(wèn)題

• 良好的解耦性。核心接口調(diào)用服務(wù)器的認(rèn)證 access_token 可以完成獨(dú)立的實(shí)現(xiàn)和部署

• 良好的層次性。不同平臺(tái)的可以有完全不同的用戶權(quán)限控制系統(tǒng)，這個(gè)控制可以在 會(huì)話層 中各平臺(tái)解決掉

4.1、賬號(hào)密碼

廣義的 賬號(hào)/密碼 有如下的呈現(xiàn)方式:

• 傳統(tǒng)的注冊(cè)用戶名和密碼

• 應(yīng)用程序的app_id/app_key

它們的特點(diǎn)如下：

1、會(huì)有特別的意義

比如：用戶自己為了方便記憶，會(huì)設(shè)置有一定含義的賬號(hào)和密碼。

2、不常修改

賬號(hào)密碼對(duì)用戶有特別含義，一般沒(méi)有特殊情況不會(huì)愿意修改。而app_id/app_key則會(huì)寫(xiě)在應(yīng)用程序中，修改會(huì)意味著重新發(fā)布上線的成本

3、一旦泄露影響深遠(yuǎn)

正因?yàn)椴怀Ｐ薷?，只要泄露了基本相?dāng)于用戶的網(wǎng)絡(luò)身份被泄露，而且只要沒(méi)被察覺(jué)這種身份盜用就會(huì)一直存在

所以在認(rèn)證系統(tǒng)中應(yīng)該盡量減少傳輸?shù)臋C(jī)會(huì)，避免泄露。

4.2、客戶端會(huì)話token

功能：

充當(dāng)著session的角色，不同的客戶端有不同的生命周期。

使用步驟：

用戶使用賬號(hào)密碼，換取會(huì)話token

不同的平臺(tái)的token有不同的特點(diǎn)：

Web平臺(tái)生存周期短

主要原因：

• 環(huán)境安全性：由于web登錄環(huán)境一般很可能是公共環(huán)境，被他人盜取的風(fēng)險(xiǎn)值較大

• 輸入便捷性：在PC上使用鍵盤(pán)輸入會(huì)比較便捷

移動(dòng)端生存周期長(zhǎng)

主要原因：

• 環(huán)境安全性：移動(dòng)端平臺(tái)是個(gè)人用戶極其私密的平臺(tái)，它人接觸的機(jī)會(huì)不大

• 輸入便捷性：在移動(dòng)端上使用手指在小屏幕上觸摸輸入體驗(yàn)差，輸入成本高

4.3、access_token

功能：

服務(wù)端應(yīng)用程序api接口訪問(wèn)和調(diào)用的憑證。

使用步驟：

使用具有較長(zhǎng)生命周期的會(huì)話token來(lái)?yè)Q取此接口訪問(wèn)token。

其曝光頻率直接和接口調(diào)用頻率有關(guān)，屬于高頻使用的憑證。為了照顧到隱私性，盡量減少其生命周期，即使被截取了，也不至于產(chǎn)生嚴(yán)重的后果。

注意：在客戶端token之下還加上一個(gè)access_token， 主要是為了讓具有不同生命周期的客戶端token最后在調(diào)用api的時(shí)候， 能夠具有統(tǒng)一的認(rèn)證方式。

4.4、pam_token

功能：

由已經(jīng)登錄和認(rèn)證的PC端生成的二維碼的原始串號(hào)（Pc Auth Mobile）。

主要步驟如下：

1. PC上用戶已經(jīng)完成認(rèn)證，登錄了系統(tǒng)

2. PC端生成一組和此用戶相關(guān)聯(lián)的pam_token

3. PC端將此pam_token的使用鏈接生成二維碼

4. 移動(dòng)端掃碼后，請(qǐng)求服務(wù)器，并和用戶信息關(guān)聯(lián)

5. 移動(dòng)端獲取refresh_token(長(zhǎng)時(shí)效的會(huì)話)

6. 根據(jù) refresh_token 獲取 access_token

7. 完成正常的接口調(diào)用工作

備注:

• 生存周期為2分鐘,2分鐘后過(guò)期刪除

• 沒(méi)有被使用時(shí),每1分鐘變一次

• 被使用后,立刻刪除掉

• 此種認(rèn)證模式一般不會(huì)被使用到

4.5、map_token

功能：

由已經(jīng)登錄的移動(dòng)app來(lái)掃碼認(rèn)證PC端系統(tǒng)，并完成PC端系統(tǒng)的登錄（Mobile Auth Pc）。

主要步驟：

1. 移動(dòng)端完成用戶身份的認(rèn)證登錄app

2. 未登錄的PC生成匿名的 map_token

3. 移動(dòng)端掃碼后在db中生成 map_token 和用戶關(guān)聯(lián)（完成簽名）

4. db同時(shí)針對(duì)此用戶生成 web_token

5. PC端一直以 map_token 為參數(shù)查找此命名用戶的 web_token

6. PC端根據(jù) web_token 去獲取 access_token

7. 后續(xù)正常的調(diào)用接口調(diào)用工作

備注:

• 生存周期為2分鐘,2分鐘后過(guò)期刪除

• 沒(méi)有被使用時(shí),每1分鐘變一次

• 被使用后,立刻刪除掉

---

5、小結(jié)與展望

本文所設(shè)計(jì)的基于token的身份認(rèn)證系統(tǒng)，主要解決了如下的問(wèn)題：

• token的分類(lèi)問(wèn)題

• token的隱私性參數(shù)設(shè)置問(wèn)題

• token的使用場(chǎng)景問(wèn)題

• 不同生命周期的token分層轉(zhuǎn)化關(guān)系

本文中提到的設(shè)計(jì)方法，在 應(yīng)用層 中可以適用于且不限于如下場(chǎng)景中：

• 用戶登錄

• 有時(shí)效的優(yōu)惠券發(fā)放

• 有時(shí)效的邀請(qǐng)碼發(fā)放

• 有時(shí)效的二維碼授權(quán)

• 具有時(shí)效 手機(jī)/郵件 驗(yàn)證碼

• 多個(gè)不同平臺(tái)調(diào)用同一套API接口

• 多個(gè)平臺(tái)使用同一個(gè)身份認(rèn)證中心

至于更多的使用場(chǎng)景，就需要大家去發(fā)掘了。

END

作者：哈莫 ,本文版權(quán)歸作者所有

cnblogs.com/beer/p/6029861.html

特別推薦一個(gè)分享架構(gòu)+算法的優(yōu)質(zhì)內(nèi)容，還沒(méi)關(guān)注的小伙伴，可以長(zhǎng)按關(guān)注一下：

長(zhǎng)按訂閱更多精彩▼
如有收獲，點(diǎn)個(gè)在看，誠(chéng)摯感謝