Warum ist das Teilen der Sitzung zum Implementieren von SSO nicht gut? Ich lerne SSO-System.Warum ist das Teilen einer Sitzung zum Implementieren von SSO nicht gut?
über diese Szenen denkt: Angenommen, dass alle HTTP-Anforderungen an Business-Service Anmeldung erforderlich sind, muß der Business-Service die Anforderungen verifizieren Anmeldung oder nicht durch SSO-Dienst in CAS oder SAML zu fragen. Wenn es 10 Geschäftsdienste gibt und die Anforderung jedes Dienstes 1k req/s
lautet, lautet die Anforderung des SSO-Dienstes 10k req/s
. Es ist schwierig, sich vorzustellen, dass der SSO-Dienst sich halten kann.
SO, möglicherweise gibt es einen Cache-Mechanismus in den Business-Services, um Login-Token zu überprüfen. Beim Abmelden des Benutzers muss der SSO-Dienst jedoch die Überprüfungsinformationen entfernen, und die Geschäftsdienste müssen auch die Cache-Überprüfungsinformationen entfernen. Ich denke, das ist zu kompliziert. Der SSO-Dienst muss den Geschäftsdiensten mitteilen, dass sich einige Personen abgemeldet haben. Warum also nicht alle Service-Sharing die Login-Token verifizieren Info? Lassen Sie den SSO-Dienst schreiben und andere Unternehmen lesen. Es erinnert mich an die sharing the session to implement SSO
. Und ich dachte, wenn ich die Login-Token teilen kann, verifiziere Info von wieder verteilten Cluster. Aber ich habe gehört, dass das Teilen nicht gut ist? Warum also?