Servidor de autentica��o separado da aplica��o

13/09/2014

Ol�, me chamo Thiago Moreira e sou novo no f�rum, pelo menos em participa��o.

Tenho um cliente que vai desenvolver duas aplica��es de sua empresa, ou seja, dois servi�os oferecidos por sua empresa, e planos para outros projetos, e vers�es mobile dos mesmos.

Pois bem, por quest�es de modulariza��o do projeto e facilidade de desenvolvimento de futuras aplica��es, abstraimos todo o processo de autentica��o das aplica��es para um servi�o �nico de autentica��o/login.

A minha inten��o � que toda a intera��o do usu�rio com sua conta, login, logout, atualiza��o de dados, se d� em um �nico local, em um servidor e banco de dados � parte, deixando o servidor de cada aplica��o livre e ocupado apena com o que realmente lhe interessa rs.

Pois bem, como esse � o meu primeiro empreendimento na linha DevOps, e achei pouco material sobre essa quest�o espec�fica, gostaria de umas dicas, opini�es e experi�ncias.

Thiago Moreira

Curtir t�pico + 0

Responder

Posts

13/09/2014

Marisiana Battistella

Interessante o teu questionamento! Vou acompanhar o post para conhecimento...

Responder

Gostei + 0

13/09/2014

Roniere Almeida

Interessante o teu questionamento! Vou acompanhar o post para conhecimento...

Tambem, pois futuramente estarei estudando essa parte de servidores.

Responder

Gostei + 0

14/09/2014

Thiago Moreira

Como tem mais pessoas interessadas na quest�o, vou citar uma resposta que tive em outro forum:

j� usei essa estrat�gia algumas vezes, existem vantagens e uma grande desvantagem. Como vantagem posso citar:

1. Local �nico para cadastro de usu�rios, sendo apenas necess�rio definir perfis para cada aplica��o;
2. � poss�vel al�m de autoriza��o e autentica��o centralizar a parte de auditoria. Voc� pode criar opera��es no servi�o para registro centralizado de a��es que o usu�rio realizou em todas as aplica��es;
3. Com todas as a��es centralizadas, voc� pode criar relat�rios de auditoria centralizados, por exemplo, voc� pode saber todos os sistemas que uma pessoa logou, ou todas as �ltimas a��es que um funcion�rio que acabou de ser demitido fez.

A maior de todas as desvantagens �: Adicionar um novo ponto de falhas a suas aplica��es. Ou seja, se o banco ou o servi�o de autentica��o cair, ninguem vai conseguir logar nas outras aplica��es. Pense bem que eu j� tive s�rios problemas com isso.

Respondi:

Quanto � grande desvantagem, iremos utilizar politica failover, e replica��es de bd Master e Slave, minimizando poss�veis falhas. Por outro lado quando houver falha, n�o afeta a aplica��o em si.

Responder

Gostei + 0

15/09/2014

Thiago Moreira

A ideia que me deram foi:

Uma das maneiras mais simples � o seu servidor de aplica��o usar o seguinte fluxo:

A aplica��o gerar um hash e direciona o usu�rio para o servidor de login com esse par�metro;

o servidor de login solicita e verifica as credenciais do usu�rio;

caso o usu�rio cancele ou as credenciais n�o se confirmem ap�s N vezes, o servidor de login devolve o usu�rio para a aplica��o, sem confirmar o login, OU

ao confirmar as credenciais, o servidor de login redireciona o usu�rio de volta para a aplica��o, com o ID do usu�rio e um hash assinado por um valor comum armazenado pelas partes envolvidas.

D� pra se fazer isto de uma maneira relativamente simples, sem se preocupar com OAuth e outros protocolos mal documentados e complexos demais para a necessidade espec�fica.

Vantagens desta solu��o:

Port�til - cada parte da aplica��o pode ser dividida em diversas m�quinas diferentes;

pouco c�digo necess�rio;

funciona pra uma, duas ou duzentas aplica��es, quantas forem necess�rias;

escal�vel, pois n�o depende de onde cada parte do sistema est� rodando;

simples de gerenciar, pois a �nica informa��o compartilhada entre as partes � o usu�rio autenticado, pelo retorno de um ID e assinatura v�lidos.

Responder

Gostei + 0