用歷史觀來看一種技術的演進,稱之為“技術血脈”。 十年前,靜兒做的是傳統軟體的項目,都是企業定製的項目,系統安裝在企業的機器上,通過硬體來做物理隔離。系統的安全訪問控制靠操作系統來保證。 在互聯網大潮中,B/S逐漸流行,對於這類從傳統軟體轉化來的項目,一般採用的是用戶名密碼登陸的鑒權方式。為了對用戶 ...
用歷史觀來看一種技術的演進,稱之為“技術血脈”。
十年前,靜兒做的是傳統軟體的項目,都是企業定製的項目,系統安裝在企業的機器上,通過硬體來做物理隔離。系統的安全訪問控制靠操作系統來保證。
在互聯網大潮中,B/S逐漸流行,對於這類從傳統軟體轉化來的項目,一般採用的是用戶名密碼登陸的鑒權方式。為了對用戶身份做認證,一般採用的是郵箱認證。09年的時候,靜兒還在人人網,當時在研究自動化測試。有段時間有個小公司在搞活動,新註冊用戶可以抽獎,中獎率特別高。靜兒就用自動化測試工作批量註冊郵箱和此網站用戶,刷出來好多小禮物。充分驗證了自己的自動化測試工具的實用性。
當時,雖然各個網站還沒有開始使用驗證碼。但是靜兒那時候做過爬蟲,對於爬蟲這類攻擊,很多網站還是採取了一定策略的。最常見的就是對IP做流量控制。比如半小時內不能點擊超過2萬次,超過則自動返回訪問受限制,半小時後自動恢復。如果這件事情反覆發生,被後臺工作人員檢測到,可以加入黑名單。
用戶註冊有一部分是“連攜”的,這是個日語詞,中文應該叫合作吧。就是下麵的“其他方式登錄”。這種實現到現在為止業界也還是採用oauth來實現,靜兒八年前的項目經歷完全可以排上用場。
再後來網站對於用戶註冊開始使用驗證碼了。驗證碼的實現類似於分散式session的實現,都是在服務端保存一個客戶端key對應的value。只是驗證碼的value只是一個字元串。靜兒那時候都是採用分散式緩存作為服務端驗證碼的存儲工具。
在人人網工作四年之後,靜兒出去面試,朋友給介紹了一個做PaaS的公司,按現在的話說就是雲CRM。當時是在公司樓下一家咖啡館,他們CTO帶著一個兄弟過來,請我喝咖啡,讓我聊聊訪問控制,因為他們當時這塊沒有很好的解決方案。我就說了一下RBAC(基於角色的訪問控制)的思路。
靜兒去了一家創業公司,因為項目規模小了,公司也沒有統一的基礎設施,許可權認證這些都是自己來實現。本著只採用成熟的技術的原則,對於後臺管理,當時靜兒用的是Spring Security。Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全訪問控制功能解決方案的安全框架。
它支持認證一體化如下認證技術:
HTTP BASIC authentication headers(一個基於IEFT RFC的標準)
HTTP Digest authentication headers(一個基於IEFT RFC的標準)
HTTP X.509 client certificicate exchange(一個基於IEFT RFC的標準)
LDAP(一個非常常見的跨平臺認證方法)
Form-based authentication(提供簡單用戶介面的需求)
OpenID authentication
Computer Associates Siteminder
JA-SIG Central Authentication Service(CAS,一個開源的單點登錄系統)
Transparent authentication context propagation for Remote Method Invocation and HttpInvoker(一個Spring遠程調用協議)
兩年後,為了實現7年前定的“要作為技術人員去國外出差”的目標,靜兒入職了樂視。自然,全公司統一獨立部署的SSO(單點登錄)是必不可少的。嚴格來說,靜兒那時候做的限流也是安全訪問控制的一部分。
新美大這邊的鑒權與安全訪問控制就比較多了。SSO鑒權作為一個基礎組件提供客戶端和服務端自然是最基本的。在此基礎上添加了新美大自研的基於角色許可權控制。但是對於一些介面維度的,根據實際情況,會採用一些BA認證。比如根據token來指定配額。對於一些底層服務,內部也肯定會用到TLS做認證。
後記
大家可能註意到靜兒的前幾篇文章比較註重自下而上思考,自上而下表達的結構化思維,而本篇是歷史序的縱向思維。
作為技術人員,從各個維度對技術對項目做思考是一種基本意識。武功境界中所謂“人劍合一”的原理也是多練習多思考的結果。而技術人員想達到“人技合一”必然要從各個維度積累沉澱。
靜兒,20歲時畢業於東北大學電腦系。在畢業後的第一家公司由於出眾的語言天賦,在1年的時間里從零開始學日語並以超高分通過了國際日語一級考試,擔當兩年日語翻譯的工作。後就職於人人網,轉型做互聯網開發。中國科學院心理學研究生。有近百個技術發明專利,創業公司合伙人。有日本東京,美國矽谷技術支持經驗。目前任美團點評技術專家(歡迎關註靜兒的個人技術公眾號:編程一生),心法文章可參考我的《自動化管理之新人培養》
技術交流可關註我的github:https://github.com/xiexiaojing
關註靜兒公眾號,不定期漫畫技術推送~