当 SSO 网站关闭时如何处理本地身份验证?

How can handle the local authentication when a SSO website is down?

我们正在开发一个 SSO 应用程序,使用 IdentityServer4 作为我们公司其他 (client) 网站的身份验证(而非授权)基础设施。我们的主要担忧之一是 SSO 网站的故障。在这种情况下,我们应该考虑哪些注意事项以尽量减少 clients 问题?

例如,我们想在每个应用中创建一个本地登录页面,并要求每个应用使用OTP机制对其进行身份验证。这够不够还是有更好的解决方案?

出于安全原因,您不应尝试添加一些本地登录,这只会让事情变得更复杂、更复杂并且可能更不安全。

因为您的令牌有一定的生命周期(例如默认为 1 小时,如果您的 SSO 暂时关闭,那么您的客户端可以继续运行(除非您一直查询您的 SSO)。

如果你想让它更可靠,那么你需要开始寻找负载平衡器并拥有多个 IdentityServer 实例 运行。如果您确实注意在所有实例上使用相同的密钥,那可以工作。