SLS日志服务免登方案背景
在众多用户使用SLS日志服务的过程中,STS免登方式因其经典与成熟而广受欢迎。STS模式不仅充分利用了阿里云账号的RAM体系,还能通用地集成所有支持STS模式的云产品,同时支持客户自定义访问权限,为用户带来了极大的便利。
然而,随着时间的推移,STS模式在多个方面逐渐暴露出不足,无法满足日志服务客户日益增长的需求。这些问题主要体现在性能瓶颈、会话时间限制、错误排查困难以及跨域问题等方面。
STS模式现存问题剖析
性能瓶颈凸显
STS模式加载速度缓慢,用户通常需要经历三次顺序交互才能访问到页面。若考虑客户外部系统的交互和iframe内的重定向,流程将更加冗长。以SLS控制台查询页面为例,用户登录阿里云官网后直接打开SLS页面,仅需2秒即可查看日志;而使用STS模式,时间将延长至6秒以上,严重影响用户体验。
会话时间限制成痛点
STS模式创建的链接存在会话时间限制,默认1小时,最长可延长至24小时,且无法再次延长。这导致客户在使用过程中经常遇到浏览器tab页隔天无法使用的情况,且无法通过新打开页面登录恢复旧的页面登录状态,与客户自建web网站的长时间会话需求形成严重冲突。
错误排查困难重重
STS模式登录流程复杂,涉及阿里云多个模块(STS、RAM、登录、SLS),一旦出现问题很难排查。加之登录逻辑中包含多次重定向操作,SLS控制台本身难以自行排查客户登录不成功的根因,给用户带来极大困扰。
跨域问题日益凸显
随着浏览器安全策略的增强,跨域cookie受到极大限制。STS模式在客户自建web中使用iframe内嵌SLS页面时,严重依赖浏览器cookie,导致Safari、Chrome等浏览器默认无法打开STS模式内嵌的页面,进一步加剧了用户的使用难度。
全新免登方案:基于Ticket的革新
为了解决上述所有问题,SLS自研了一套全新的基于Ticket的免登方案。该方案支持客户使用Ticket将SLS控制台免登分享给他人或嵌入到第三方系统,同时可控制嵌入至第三方系统的日志服务权限。
方案优势显著
1. 速度快:只需两步即可访问SLS控制台,无任何浏览器重定向操作,平均访问时间在2秒以内。
2. 会话时间灵活:支持客户调用SLS接口延长会话时间,彻底解决会话时间限制问题。
3. 安全性高:支持使用RAM账户调用创建免登链接接口,使用RAM Policy控制免登链接权限。
4. 错误排查便捷:客户在实施该方案过程中,只需调用SLS接口(无第三方系统介入),SLS会返回详细错误原因,方便用户排查。
5. 无跨域问题:该方案不基于浏览器cookie实现,彻底解决了跨域问题。
仪表盘免密分享:满足多样化需求
在给客户支持的过程中,我们发现让客户自建系统集成免登方案(无论步骤多简单)都非常复杂,只有一定规模的用户才会使用。然而,在许多场景下,客户仍然需要免登、分享等功能。
为此,除了全新的免登方案外,我们还基于Ticket机制提供了仪表盘的免密分享功能。该功能支持在控制台创建免登链接,无需调用SDK实现,未来还将支持日志查询页面的免密分享。仪表盘免密分享的操作步骤非常简单,为用户带来了极大的便利。
有需要接入全新免登方案和仪表盘免密分享功能的用户,可以参考此文档,该方案已经全网发布。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 972197909@qq.com 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://www.pinzan97.com/zuowen/2075.html
