【前言】

    在上篇博文中小編為大家分享了《SCPPO:系統統一身份認證的改造之路》，由於篇幅原因其中一些東西只是簡單提了一下，也有部分內容沒有說出來；今天小編繼續接著上篇的博文，一方面為大家解上次的悶兒，另外分享點新東西讓大家對此有更加全面的理解。

【再續改造之路】

      說明：先在巨集觀上為大家展示下下面將深入的兩個方面：一是認證平臺的原理說明；二是關於使用者的管理。

      1、統一認證平臺原理說明

         （1）特殊說明：由於這是由第三方公司提供的產品，目前為止小編只接觸了它的原理，等日後有機會搞清裡面實現再為大家分享；

         （2）原理圖：

         （3）名詞掃盲：

              ①TS—Topologry  Service：拓撲管理者；類似於整個平臺的管理員，管理各個SP、DS、IDP的註冊和釋出；

              ②SP—Service  Provider：服務提供者（站在認證平臺的角度來看）；接受IDP的票據的有效性，驗證有效後將其轉換為應用程式自己的回話；

              ③DS—IDP Discovery Service：查詢服務；發現可用的IDP告知SP；

              ④IDP—Identity  Provider：身份服務提供者；用來確認身份是否合法。        

         （4）流程詳解：              

              ①首先需要進行應用程式的註冊，這步的作用是讓認證平臺和系統建立聯絡，大家可以參考訂閱釋出模式來理解；

              ②認證完成後每次的使用者請求到SP後，SP會從DS中獲得可用的IDP，並將該請求重定向到該可用的IDP；

              ③IDP進行身份驗證，若符合則告訴應用程式返回給使用者相應的資源，否則讓使用者跳到登入頁給相應的認證失敗的提示。       

      2、使用者的管理：

         （1）之前的使用者管理，及訪問流程：

         （2）加入認證平臺之後的使用者認證管理，分兩步：  

              ①首先將系統現有使用者名稱給統一認證平臺人員進行賬號同步：

              ②以後對賬號進行管理的操作流程圖：

         （3）認證平臺和許可權平臺的區別

            之前一直將認證平臺和許可權管理弄混！現在經過這麼一梳理，其實認證平臺和許可權管理半毛錢關係都沒有；認證平臺只負責統一登入，至於登入後跳轉到哪個主頁，哪些內容該哪個使用者看到，認證平臺不負責，而是許可權平臺負責。  

【總結】

     1、說白了統一認證平臺只是對各個系統的賬號用同一個統一認證的賬號關聯起來，做了個對映關係而已；

     2、現狀：各個系統都開發好了，現狀需求是用同一個賬號登進各個系統不用這麼麻煩；於是引進的統一認證平臺；統一認證平臺並不是一開始就有的，個人覺得如果當初的規劃足夠好，並且在實施的時候按照相應的規範，其實達到同樣的效果不用認證平臺現在實現這麼麻煩，也就更為簡單；凡事有利必有弊，需要去衡量；

     3、初步體會到產品的好處，統一認證平臺系統已經做成產品；這樣在改造的時候，統一認證平臺方面只做簡單的配置即可，而每個系統要融入進去的話需要自己改造自己的系統。