关于连接器安全认证机制的一点思考(为作者思考 相关术语为个人杜撰、可行性未验证~)
安全认证分三个层面:
1 远端IP地址的合法性认证
2 终端(客户端)类型的合法性认证
3 用户身份层面的合法性认证
下面说明可行的认证方式
1 IP层面通过配置服务器防火墙来限制非法IP的访问
2 终端类型通过服务端发放证书的形式进行认证:(服务端发放授权证书给终端,终端建立传输层连接后要求客户端传递通过授权证书签名的信息,服务端验证签名,签名合法建立应用层连接,不合法断掉传输层连接)
3 用户身份合法性认证:
第一步客户端通过单点登录中心认证身份获取令牌
第二步连接器验证令牌有效性,有效放行,无效拒绝服务;
扫描二维码关注公众号,回复:
2744317 查看本文章
关于认证后的令牌的有效期有两种方式:
一种是和传输层连接的状态绑定,在传输层连接建立后只认证一次,直到传输层连接断开,下次重连需要重新验证令牌
一种是脱离传输层连接的传输层无状态设计:服务端设置验证保活定时器,超过一定时间未验证,下次需要重新验证令牌,只要在验证保活期内,传输层连接可以建立断开多次(短连接)