我们正在开发一个SSO 应用程序,使用IdentityServer4 作为我们公司其他(client)网站的身份验证(非授权)基础设施。我们主要担心的问题之一是 SSO 网站的失败。在这种情况下,我们应该考虑哪些因素来尽量减少clients 问题?
例如,我们想在每个应用程序中创建一个本地登录页面,并要求每个应用程序使用OTP 机制对其进行身份验证。这是否足够或有更好的解决方案?
【问题讨论】:
标签: authentication architecture single-sign-on identityserver4 openid
出于安全原因,您不应尝试添加一些本地登录,这只会使事情变得更复杂、更复杂并且可能更不安全。
因为您的令牌具有一定的生命周期(例如 1 小时默认值,并且如果您的 SSO 短暂中断,那么您的客户端可以继续运行(除非您一直查询您的 SSO)。
如果您想让它更可靠,那么您需要开始查看负载平衡器并让多个 IdentityServer 实例运行。如果您确实注意在所有实例上使用相同的键,那么这可能会起作用。
【讨论】:
JWT 令牌,那么它会一直工作到过期,但如果您使用的是Reference token,那么它将无法在 WebApi 中验证令牌,所以也要从这个角度考虑。
SSO,但我对大多数客户使用Reference Tokens 和Hybrid Flows。所以我最好寻找load balancers 或其他选项