nginx集群时碰到双认证中心的单点登录

nginx集群时遇到双认证中心的单点登录

1.项目背景

目前OA和认证中心CA分别部署了2套tomcat。即机器1有OA1和CA1.机器2有OA2和CA2。两个tomcat分别对应电信和联通的外网。其他系统分别有APP1、APP2等。

用户可从CA1或者CA2统一登录。如果从CA1登录后，会跳到OA1的首页，OA1上有APP1、APP2等连接，单击连接后应该从CA1得到Token,第三方得到Token后，应该去CA1认证通过后跳到第3方系统主页或其他页面。从CA2登录亦然。

?

目前需要使用nginx集群OA1/OA2和CA1/CA2

?

2.关键问题

?

因OA原来都是使用Session，所有nginx使用ip-hash策略。可把固定IP被分配到固定的服务器。nginx实际地址配置到原来的2个tomcat。

OA或者第3方得到token后，返回CA认证，使用的httpClient。从第3方应用服务器端返回认证时无法区分是哪个CA产生token，所以验证失败。

3.解决方案

?

使用memcache。把Token信息保存在分布式缓存服务器上。key包括”sessionIds_${用户账号}“和"token_${SessoionIds}"，value类型分布式list和String。第三方发回Token认证时，根据账号得到sessionIds,逐个得到sessionIds对应的Token来比较。

?

3.nginx.conf配置文件如下.

#user ?nobody;

worker_processes ?1;

?

#error_log ?logs/error.log;

#error_log ?logs/error.log ?notice;

#error_log ?logs/error.log ?info;

?

#pid ? ? ? ?logs/nginx.pid;

?

?

events {

? ? worker_connections ?1024;

}

?

?

http {

? ? include ? ? ? mime.types;

? ? default_type ?application/octet-stream;

?

? ? #log_format ?main ?'$remote_addr - $remote_user [$time_local] "$request" '

? ? # ? ? ? ? ? ? ? ? ?'$status $body_bytes_sent "$http_referer" '

? ? # ? ? ? ? ? ? ? ? ?'"$http_user_agent" "$http_x_forwarded_for"';

?

? ? #access_log ?logs/access.log ?main;

?

? ? sendfile ? ? ? ?on;

? ? #tcp_nopush ? ? on;

?

? ? #keepalive_timeout ?0;

? ? keepalive_timeout ?65;

?

? ? #gzip ?on;

? ? upstream local_tomcat { ?

? ? ? ? ip_hash;?

#server 10.200.5.134:8080;?

server 10.200.1.229:7080;?

server 172.20.38.4:8088;?

? ? } ?

?

? ? server {

? ? ? ? listen ? ? ? 80;

? ? ? ? server_name ?localhost;

?

? ? ? ? #charset koi8-r;

?

? ? ? ? #access_log ?logs/host.access.log ?main;

?

? ? ? ? location ?/ ?{

? ? ? ? ? ? #root ? html;

? ? ? ? ? ? #index ?index.html index.htm;

? ? ? ? ? ? index http://local_tomcat/sso2/main.jsp;

? ?proxy_pass http://local_tomcat;

? ? ? ? }

?

? location ~ (.jsp)|(.action)|(.do)|(.ftl)$ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?###所以jsp、do的动态请求都交给后面的tomcat处理 ? ??

? ?{ ? ??

? ?proxy_pass ?http://local_tomcat; ? ??

? ?proxy_redirect off; ? ??

? ?proxy_set_header HOST $host; ? ??

? ?proxy_set_header X-Real-IP $remote_addr; ? ??

? ?proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; ? ??

? ?client_max_body_size 10m; ? ??

? ?client_body_buffer_size 128k; ? ??

? ?proxy_connect_timeout 90; ? ??

? ?proxy_send_timeout 90; ? ??

? ?proxy_read_timeout 90; ? ??

? ?proxy_buffer_size 4k; ? ??

? ?proxy_buffers 4 32k; ? ??

? ?proxy_busy_buffers_size 64k; ? ??

? ?proxy_temp_file_write_size 64k; ? ??

? }?

?

?

#location ~ \.jsp$ {

# proxy_pass http://localhost:8080;

#}

?

#location ~ \.(html|js|css|png|gif)$ {

# root D:/apache/apache-tomcat-7.0.47/webapps/ROOT;

#}

? ? ? ? #error_page ?404 ? ? ? ? ? ? ?/404.html;

?

? ? ? ? # redirect server error pages to the static page /50x.html

? ? ? ? #

? ? ? ? error_page ? 500 502 503 504 ?/50x.html;

? ? ? ? location = /50x.html {

? ? ? ? ? ? root ? html;

? ? ? ? }

?

? ? ? ? # proxy the PHP scripts to Apache listening on 127.0.0.1:80

? ? ? ? #

? ? ? ? #location ~ \.php$ {

? ? ? ? # ? ?proxy_pass ? http://127.0.0.1;

? ? ? ? #}

?

? ? ? ? # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000

? ? ? ? #

? ? ? ? #location ~ \.php$ {

? ? ? ? # ? ?root ? ? ? ? ? html;

? ? ? ? # ? ?fastcgi_pass ? 127.0.0.1:9000;

? ? ? ? # ? ?fastcgi_index ?index.php;

? ? ? ? # ? ?fastcgi_param ?SCRIPT_FILENAME ?/scripts$fastcgi_script_name;

? ? ? ? # ? ?include ? ? ? ?fastcgi_params;

? ? ? ? #}

?

? ? ? ? # deny access to .htaccess files, if Apache's document root

? ? ? ? # concurs with nginx's one

? ? ? ? #

? ? ? ? #location ~ /\.ht {

? ? ? ? # ? ?deny ?all;

? ? ? ? #}

? ? }

?

?

? ? # another virtual host using mix of IP-, name-, and port-based configuration

? ? #

? ? #server {

? ? # ? ?listen ? ? ? 8000;

? ? # ? ?listen ? ? ? somename:8080;

? ? # ? ?server_name ?somename ?alias ?another.alias;

?

? ? # ? ?location / {

? ? # ? ? ? ?root ? html;

? ? # ? ? ? ?index ?index.html index.htm;

? ? # ? ?}

? ? #}

?

?

? ? # HTTPS server

? ? #

? ? #server {

? ? # ? ?listen ? ? ? 443 ssl;

? ? # ? ?server_name ?localhost;

?

? ? # ? ?ssl_certificate ? ? ?cert.pem;

? ? # ? ?ssl_certificate_key ?cert.key;

?

? ? # ? ?ssl_session_cache ? ?shared:SSL:1m;

? ? # ? ?ssl_session_timeout ?5m;

?

? ? # ? ?ssl_ciphers ?HIGH:!aNULL:!MD5;

? ? # ? ?ssl_prefer_server_ciphers ?on;

?

? ? # ? ?location / {

? ? # ? ? ? ?root ? html;

? ? # ? ? ? ?index ?index.html index.htm;

? ? # ? ?}

? ? #}

?

}

?