多集群存在RPC调用时存在的问题

在一个庞大的系统设计里面,用户的登陆将成为一个难点,不可能在用户登录到web端时实现了登录,当用户为完成某一操作调用RPC端执行的时候再进行一次RPC端的登录。
SSO单点登录_超文本

单点登录

SSO(Single Sing On、单点登录)是在多个应用系统中,用户只需要登陆一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登陆的机制,是目前比较流行的企业业务整合的解决方案之一。
SSO单点登录_非对称_02
在SSO的处理过程中为了保证单点登陆的安全性需要使用https访问以及证书的签发。

Https协议

  • HTTP(Hypertext transfer protocal)是一种详细规定了浏览器和万维网服务器之间相互通信的规则,通过因特网传送万维网文档的数据传送协议。
  • HTTPS(Hypertext transfer protocal over Secure Socket Layer)是以安全为目标的http通道,https的安全基础是ssl,因此加密的详细内容就需要ssl。https协议需要到ca申请证书(一般免费的证书很少)。
  • http是超文本传输协议,信息是明文传输的,https则是具有安全性的ssl加密传输协议,http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
    SSO单点登录_加密算法_03
    超文本传输安全协议(Https,也被称作HTTP over TLS, HTTP over SSL或者HTTP Secure)是一种网络安全的传输协议,SSL(Secure Socket Layer,安全套接字层),TLS(Transport Layer Security,传输层安全协议),HTTPS开发的主要目的,是提供对网络服务器的认证,保证交换信息的机密性和完整性。
    SSO单点登录_非对称_04
    SSL是位于可靠的面向连接的网络层协议和应用层协议之间的一种协议。SSL通过相互认证、使用数字签名保证完整性、使用加密确私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL加密协议和SSL握手协议。SSL的核心概念:加密算法,数字证书,CA。
    TLS用于确保两个通用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议(TLS是传输层加密协议,它的前身是SSL协议,如果没有特殊要求,可以简单理解为TLS和SSL都属于同一协议)。

TLS、SSL加密算法

加密算法严格来说属于编码学(密码编码学),编码是信息从一种形式或格式转换为另一种形式的过程,解码是编码的逆过程(对应密码学中的解密)。加密算法主要分为两类,对称加密算法和非对称加密算法。

  • 在对称加密算法中,使用的密钥只有一个,发收信双方都使用这一个密钥进行加密和解密,这就要求解密方事先知道加密密钥。
    SSO单点登录_传输协议_05
  • 非对称加密算法需要两个密钥,公开密钥和私有密钥,公开密钥与私有密钥是一对,如果用公开密钥进行数据加密,只有用对应的私有密钥才能解密,服务器端发送加密锁给客户端,公开密钥需要定期更换。
    SSO单点登录_超文本_06