完全跨域的单点登录

最新推荐文章于 2023-06-18 16:26:00 发布
最新推荐文章于 2023-06-18 16:26:00 发布
阅读量5.1k 收藏 1
点赞数
分类专栏: 登录 文章标签: 单点登录

写的很明了的一篇关于单点登录的文章。

 完全跨域的单点登录实现方案基本和上篇文章介绍的一样,只不过生成ticket的过程更复杂些。上篇文章中的项目是不能完全跨域的,由于多个应用系统以及认证系统域不同,也没有共同的父域,导致登录后,认证系统向浏览器写的ticket在其它应用系统中获取不到,这时访问其它应用系统时,没有携带着ticket的cookie,无法认证也无法单点登录。那解决的方案是每个应用系统都向浏览器cookie中写入ticket,请看下图,图中浅蓝色圆角区域代表不同的域,当用户通过浏览器第一次访问应用系统1时,由于还没有登录,会被引导到认证系统进行登录。下面开始单点登录的过程:认证系统根据用户在浏览器中输入的登录信息,进行身份认证,如果认证通过,返回给浏览器一个证明[认证系统_ticket];这时再通过浏览器将[认证系统_ticket]发送到到应用系统1的设置cookie的url,应用系统1返回给浏览器一个证明[应用系统1_ticket],这时再将请求重定向到最初访问的页面,以后应用系统1就可以自动登录了。现在用户访问了应用系统2,由于应用系统2没有生成过cookie(但是用户已经在应用系统1登录过一次了),将请求重定向到认证系统;认证系统检测到已经生成过[认证系统_ticket]了,认证通过;再通过浏览器将[认证系统_ticket]发送到到应用系统2的设置cookie的url,应用系统2返回给浏览器一个证明[应用系统2_ticket],这时再将请求重定向到最初访问的页面。应用系统3也同样原理,我们等于将ticket做了一次同步,保证了每个应用系统都有一份认证系统产生的ticket。剩余的ticket验证过程和上篇文章一样了。


       ticket同步的过程用jsonp应该也可以实现,我基于上篇文章中的项目实现了完全跨域的单点登录,可以在这里下载项目。

域名准备

       修改hosts文件,映射3个域名:

[html]  view plain  copy
 
  在CODE上查看代码片 派生到我的代码片
  1. 127.0.0.1 web1.com  
  2. 127.0.0.1 web2.com  
  3. 127.0.0.1 passport.com  
       三个域名都是独立的,没有共同父域,web1和web2用于访问应用系统,passport用于访问认证系统。

项目部署

       项目中包含的是两个Eclipse Project,导入到Eclipse/MyEclipse后,可能需要设置下JavaEE类库。WebSSOAuth为认证系统,WebSSODemo为应用系统,如果映射的域名和我设置的一样,不需要设置,直接部署即可。如果不一样,需要修改下WebSSODemo/WEB-INF/web.xml文件。关键配置信息如下:

[html]  view plain  copy
 
  在CODE上查看代码片 派生到我的代码片
  1. <filter>  
  2.     <filter-name>SSOAuth</filter-name>  
  3.     <filter-class>com.ghsau.filter.SSOAuth</filter-class>  
  4.     <init-param>  
  5.         <!-- 认证系统服务 -->  
  6.         <param-name>SSOService</param-name>  
  7.         <param-value>http://passport.com:8080/WebSSOAuth/SSOAuth</param-value>  
  8.     </init-param>  
  9.     <init-param>  
  10.         <!-- 认证系统ticket名称 -->  
  11.         <param-name>cookieName</param-name>  
  12.         <param-value>SSOID</param-value>  
  13.     </init-param>  
  14. </filter>  
  15. <filter-mapping>  
  16.     <filter-name>SSOAuth</filter-name>  
  17.     <url-pattern>*.jsp</url-pattern>  
  18. </filter-mapping>  
  19. <filter-mapping>  
  20.     <filter-name>SSOAuth</filter-name>  
  21.     <url-pattern>/logout</url-pattern>  
  22. </filter-mapping>  
  23. <filter-mapping>  
  24.     <filter-name>SSOAuth</filter-name>  
  25.     <url-pattern>/setCookie</url-pattern>  
  26. </filter-mapping>  
       如果域名或端口号和我的不一致,可以修改对应配置项。最后部署到应用服务器中,启动服务器。

SSO使用

       首先输入第一个应用系统的访问地址,http://web1.com:8080/WebSSODemo/index.jsp,如果是第一次访问的话,会自动跳转到登录页,如下图:

       系统中内置了3个用户,张三、李四、王五,用户名和密码皆为拼音全拼,输入zhangsan/zhangsan登录后,会自动跳转到我们刚才访问的页面,页面中显示了登录的用户名及欢迎信息,如下图:

       这时,我们再输入第二个应用系统的访问地址,http://web2.com:8080/WebSSODemo/index.jsp,我们发现,没有进行第二次登录,同样页面中显示了登录的用户名及欢迎信息,如下图:

       我们接着点击Logout注销用户,页面跳转到了登录页面,这时我们再回头访问第一个应用系统的页面,发现同样跳转到了登录页面。
       互联网中的完全跨域登录的站点也有很多,如淘宝天猫,但肯定不是我这样实现的。我的实现中,认证系统和应用系统是通过url参数来传递ticket,可能存在一些不稳定因素。应用系统的每次请求都会通过HTTP远程到认证系统进行验证ticket,速度上应该会慢一些,这里可以改进一步,在每个应用系统中也维护一份tickets,验证时,首先到本系统中验证,如果不存在,再远程到认证系统进行验证,但这也增加了应用系统的代码量。本文完,如果有什么问题,欢迎讨论。

heartbeaty
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
多域SSO单点登录
06-04
当用户第一次访问web应用系统1的时候,因为还没有登录,会被引导到认证中心进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,返回给用户一个认证的凭据;用户再访问别的web应用的时候就会将这个Token带上,作为自己认证的凭据,应用系统接受到请求之后会把Token送到认证中心进行效验,检查Token的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。所有应用系统共享一个身份认证系统。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志,返还给用户。另外,认证系统还应该对Token进行效验,判断其有效性。 所有应用系统能够识别和提取Token信息要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对Token进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。 比如说,我现在有3个分站点和1个认证中心(总站)。当用户访问分站点的时候,分站点会发Token到验证中心进行验证。验证中心判断用户是否已经登录。如果未登录,则返回到验证中心登录入口进行登录,否之则返回Token验证到分站点,直接进入分站点
单点登录(SSO)详解——超详细
最新发布
qq_53895518的博客
03-20 1895
此种实现方式比较简单,但不支持跨主域
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 753
什么是JSON Web Token(JWT)?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签。虽然JWT可以加密以在各方之间提供保密,但只将专注于签令牌。签令牌可以验证其...
跨域单点登录
baixiaozheng的博客
06-11 746
1.什么是单点登录(SSO) 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。 2.实现思路 总体分为多个web和一个passp...
单点登录(SSO)Cookie跨域问题 CAS原理
sciense的博客
04-26 7090
1、回顾单系统登陆 我么知道 Http 是无状态协议,这意味着服务器无法确认用户信息。于是W3C就提出了给每个用户发一个通行证,无论谁访问都要携带通行证,服务器通过通行证确认信息。这个通行证就是Cookie。Session相当于在服务器中简历的一份“客户明细表”。Session 不能依据 Http连接来判断是否为同一个用户,于是服务器向浏览器发送一个Cookie,Session就是依据cookie来识别是否是同一用户。 流程:用户信息保存在 Session中 ===》如果Session中可以查到放行,.
完全跨域单点登录DEMO
03-05
详情见http://blog.csdn.net/ghsau/article/details/20545513
详解使用JWT实现单点登录完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
完全跨域单点登录 完全跨域单点登录
09-13
完全跨域单点登录, 适用于java语言开发, demo中展示了单点登陆的原理, 可用于理论学习
单点登陆实现(完全跨域、单点退出)
03-13
基于springmvc+maven+webservce+memecached 单点登陆实现,实现完全跨域、单点退出
一篇文章弄懂如何实现SSO单点登录
liuxinzenzhen的博客
04-02 1969
单点登录的介绍 单点登录(Single Sign On, SSO)是指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的应用系统。举例来说,百度贴吧和百度地图是百度公司旗下的两个不同的应用系统,如果用户在百度贴吧登录过之后,当他访问百度地图时无需再次登录,那么就说明百度贴吧和百度地图之间实现了单点登录单点登录的本质就是在多个应用系统中共享登录状态。如果用户的登录状态是记录在 Session 中的,要实现共享登录状态,就要先共享 Session,比如可以将 Session ..
SSO完整版跨域单点登录
09-12
SSO完整版,采用服务端和客户端结合跨域。适合demo,改造可适用企业级。
跨域单点登录解决方案
禅与计算机程序设计艺术
10-10 1万+
单点登录有两种模型,一种是共同父域下的单点登录(例如域都是 xx.a.com),还有就是完全跨域下的单点登录(例如域是xx.a.com,xx.b.com),本文我们讲一下完全跨域下的单点登录该怎么实现。基于安全考虑,想通过cookie来实现这个功能是不太可能的了(也许有其他黑科技可以实现,这里不做讨论)。这里介绍的方案是参考shiro框架的跨域session共享方案来实现的。我们知道浏览器访问...
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)
m0_46275020的博客
06-01 1416
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060114555531.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2Mjc1MDIw,size_16,color_FFFFFF,t_70#p
怎么实现单点登录?面试必问!
程序IT圈
10-02 421
来源:https://dwz.cn/d90vKSJE单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不...
跨域分布式系统单点登录的实现(CAS单点登录
追风人的博客
09-17 1040
1. 概述 上一次我们聊了一下《使用Redis实现分布式会话》,原理就是使用 客户端Cookie + Redis 的方式来验证用户是否登录。 如果分布式系统中,只是对Tomcat做了负载均衡,或者所有的子系统都在同一个二级域下,则客户端Cookie + Redis 的方式是可以支持验证用户是否登录的。 如果分布式系统中包含了不同域的子系统,之前的客户端Cookie + Redis 的方式就不支持了,因为二级域不同,Cookie无法共享。 例如:浏览器在子系统A的二级域中保存了Cookie..
SSO跨域单点登录实现方案
热门推荐
hezheqiang的专栏
08-28 1万+
SSO简介 定义: 传统的单站点登录访问授权机制是:登录成功后将用户信息保存在session中,sessionId保存在cookie中,每次访问需要登录访问的资源(url)时判断当前session是否为空,为空的话跳转到登录界面登录,不为空的话允许访问。 单点登录是一种多站点共享登录访问授权机制,访问用户只需要在一个站点登录就可以访问其它站点需要登录访问的资源(url)。用户在任意一个站点...
SSO单点登录(Single Sign On)
Erick_Zhang1996的博客
06-14 395
1.基于Cookie共享的单点登录 1.1.简介 ​ ​ 单点登录(Single Sign On) 简称为SSO, 定义为在多个应用系统中, 用户只需要登陆一次就可以访问所有相互信任的应用系统,而不需要再次登录。是目前比较流行的企业业务整合的解决方案之一。 ​​ ​ 例如,用户成功登录baidu.com后,访问百度贴吧tieba.baidu.com、百度地图map.baidu.com就不需要再次登录,只需要登录一次,用户的登录状态信息就可以在相互信任的系统间共享,实现单点登录。 1.2.实现方式 1.2.1
多域实现单点登录详解
砷碲 - Shendi
06-18 1315
在很久以前给自己的网站制作了登录系统,但因为个人备案等原因没有需要用到登录的地方,于是就没有特意去完善这部分功能,仅仅是将用户部分抽取出来作为一个微服务最近编写一个转换工具,调后端接口,为了避免被恶意调用,除了使用验证码外,还需要登录才能使用因为是微服务,项目是多个,为了保证良好的体验,于是将单项目登录更改为单点登录
vue3 实现跨域单点登录
10-14
要实现跨域单点登录,可以使用 JWT(JSON Web Token)来实现。具体步骤如下: 1. 用户在登录页面输入用户和密码,前端将用户和密码发送到后端进行验证。 2. 后端验证通过后,生成一个 JWT,并将 JWT 返回给前端。 3. 前端将 JWT 存储在本地,每次请求时都将 JWT 放在请求头中发送给后端。 4. 后端在接收到请求时,验证 JWT 的有效性,如果有效则返回请求结果,否则返回错误信息。 在 Vue3 中,可以使用 axios 库来发送请求,并且可以通过 axios 的拦截器来实现 JWT 的自动添加和验证。具体代码如下: ```javascript import axios from 'axios' // 创建 axios 实例 const instance = axios.create({ baseURL: 'http://api.example.com', timeout: 5000 }) // 添加请求拦截器 instance.interceptors.request.use(config => { // 从本地存储中获取 JWT const token = localStorage.getItem('token') // 如果 JWT 存在,则将其添加到请求头中 if (token) { config.headers.Authorization = `Bearer ${token}` } return config }, error => { return Promise.reject(error) }) // 添加响应拦截器 instance.interceptors.response.use(response => { return response.data }, error => { // 如果响应状态码为 401,则说明 JWT 失效或未授权,需要重新登录 if (error.response.status === 401) { // 跳转到登录页面 window.location.href = '/login' } return Promise.reject(error) }) export default instance ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值