[认证] 单点认证的问题？请教更好的方案

fjytzh

说明下环境先：
有 10台服务器 一台做认证服务器   9台做应用服务器（不同的系统，同一用户）
9台系统中无论哪台请求登陆后，在其他的服务器上就可以畅通无阻，引用crazysoul （http://bbs.chinaunix.net/viewthread.php?tid=681183）的比喻就是 只要在门口买一次票后，只需在进去时要向摊主展示一下你的门票。
我现在的做法是：
在9台的应用服务器登陆时，都到认证服务器上认证（nusoap），认证完后在应用服务器上生成与认证服务器同一个sessionId的session，并在链接中跟上sess=sessionid。当通过链接转到另一台应用服务器上时用这个sessionid去认证服务器上询问是否有这个session。如果有则通过认证，没有则重新认证。
但是现在的问题是：
我用这个sessionid去询问（nusoap）的时候，服务器会自动重新生成一个sessionid，而不是我提供给它的sessionid
请问下什么情况下会再生成session，

1. session_id($sessionid);
   
2. session_start();

复制代码

好像都没有用的。
大家都怎么实现单点认证的？有没有更好的方案呢？谢谢

[ 本帖最后由 HonestQiao 于 2006-6-29 08:58 编辑 ]

crazysoul

可以把在认证服务器里取得的session id 当作一个值回传到应用服务器上,而应用服务器上可以有自己独立的session id,但要与取得的认证服务器的session id关联起来,不必强求两者的session存储结构完全一样

wobushiwo

可以使用现有SSO产品，有开源的，响应于web应用程序之前，跨语言，跨平台

xuzuning

1、确认$sessionid有值
2、既然是“到认证服务器上认证（nusoap）”，那么就没有必要再在非认证服务器中使用session

fjytzh

首先谢谢大家关注这个论题

原帖由 52linux 于 2006-6-15 17:36 发表
可以把在认证服务器里取得的session id 当作一个值回传到应用服务器上,而应用服务器上可以有自己独立的session id,但要与取得的认证服务器的session id关联起来,不必强求两者的session存储结构完全一样  

是的，但是因为即使这样两台之间还是要建立信任机制（我不希望任何人都可以调用我的soap函数），nusoap/apache好像没有自动信任某些主机的设置吧？还是我没有找到？

可以使用现有SSO产品，有开源的，响应于web应用程序之前，跨语言，跨平台

可以介绍一两个吗？想学学有什么优秀的算法:wink:

1、确认$sessionid有值
2、既然是“到认证服务器上认证（nusoap）”，那么就没有必要再在非认证服务器中使用session

因为认证服务器只提供认证的功能，其他的应用还需要靠应用服务器来运作，所以session我想还是需要的

HonestQiao

你为啥非要傍死sessionid呢？

你连接nusoap的时候，一般都是服务器连接过去的，这样子你搞什么session应该都是服务器的了，对客户端无效了啊。

建议：你自己设定一个session_id规则，存放于数据库。