单点登录

最新推荐文章于 2020-09-17 10:34:15 发布
最新推荐文章于 2020-09-17 10:34:15 发布
阅读量299 收藏 1
点赞数
分类专栏: Java 文章标签: sso

初识单点登录

最初接触到单点登录要追溯到3年多以前了,那时候看到的只是passport,当时要做全国所有社区的登录,然后就照着内部文档写了代码,然后就接入了(这里要提一句是百度与腾讯一旦形成产品的技术项目,文档都很不错)然后就没有然后了......

而知识的珍贵程度却是这样的:

知识珍贵度排名:
听过 < demo过 < 实际工作用过 < 实际工作中被坑过< 实际工作中被多次坑过或者深入研究总结过

所以,脱离工作去学习node可能收效不大,脱离项目去说前端优化可能不让人信服,不被ie坑也认识不到兼容,这个时候我们就要抓住工作中的点,一点点深入进去了,也许这一轮的瓶颈就自然而然的突破了呢,这是我最近的想法,也试着朝着相关的方向努力。

今天想要写passport事实上是工作中用到了这个点了,如果我就照着内部文档接入了似乎意义不大,所以我准备就着这个机会骚骚了解下原理,期望将他变成第一类知识沉淀。

文中内容皆是自我总结或者查询,如果有误请您提出,文中代码比较简陋,仅帮助理解,勿用作实际项目

什么是单点登录

单点登录即single sign on,用以解决同一公司不同子产品之间身份认证问题,也就是说,a.baidu.com与b.baidu.com两个站点之间只需要登录一次即可。

一般来说单点登录实现原理为,首次访问一个站点时会被引导至登录页,用户登录验证通过,浏览器会存储一个关键key(一般采用cookie),用户访问其他系统时会带着这个key,服务器系统发现具有key标志后,会对其进行验证,如果通过便不需要再次登录了。

这里的关键为二,第一是key,其二为系统统一的认证机制,这当中key会有一系列规则保证登录的安全性,而统一的认证机制是单点登录的前提,key是由他提供出去,每次用户由以这个给出的key来这里验证,判断其有效性,这里的统一的验证平台便是passport,他负责着制作通行令牌,并且对其进行验证。

这里举个例子来说(有误请您指出):

子系统A统一到passport服务器鉴权,并且在passport处获取cookie,并将token加入url,跳转回子系统A
跳回子系统A后,使用token再次去passport验证(这里直接走webservice服务验证,不再跳转),验证通过便在A系统服务器生成session,以后访问子系统A,在有效时间内不到passport验证
进入子系统B,跳到passport鉴权,发现passport cookie已经存在(token),便直接跳回子系统B,url带有token值,使用token去验证流程与A一致

实现原理

以腾讯百度等公司产品来说,他们一般会有一个统一的域,比如:

baidu.com => tieba.baidu.com、music.baidu.com、baike.baidu.com......

qq.com => feiji.qq.com、cd.qq.com、music.qq.com

这类共享一个主域,但是这类网站往往还会提供给第三方使用,比如腾讯会给tencent.com与jd.com使用,这个时候一些实现细节又不一样,但有一点是确定的:

单点登录要求共享一套账号体系,至少保存各个子系统的公共信息

用户登录态,我们存于session中,这个时候第一类站点的单点登录便比较简单,以百度为例,直接设置baike.baidu.com与tieba.baidu.com的session为cookie domain为baidu.com便可解决问题。

第二种情况比较普遍,便是music.qq.com与jd.com要实现单点登录,这个便完全跨域了,SSO的做法是将登录态保存至公用域,一般是passport.xx.com,比如百度为passport.baidu.com。

这个时候tieba.baidu.com或者music.baidu.com的授权检查与退出操作全部由SSO(passport.baidu.com)来进行

简单实现

单点登录的调用表现一般有两种:

① 跳转

② 弹出层回调

当用户在子系统未登录时,便会携带相关参数,比如tieba.baidu.com去到SSO(passport.baidu.com)进行登录

登录成功SSO会生成ticket key并附加给源网址跳转回去,这个时候SSO上已经有用户的登录状态了,但是各个子系统仍然没有登录态,所以根据这个ticket设置各个子系统独立的登录态是需要的。

当在SSO验证结束后,会回到子系统,子系统会根据得到的ticket(SSO为此次登录生成的用户基本信息加密串)获取用户的基本信息,从而在本站设置登录态。

这里使用代码做一个说明,有2年没有写服务器端代码了,最后选来选去使用了node实现,才发现自己对node也很不熟悉啊!!!

passport的实现

首先我们看看鉴权代码的实现

 var path = require('path');
 var express = require('express');
 var router = express.Router();
 //偷懒,将token数据写入文件
 var fs = require('fs');
 
 /* GET home page. */
 router.get('/', function (req, res, next) {
   if (!req.query.from) {
     res.render('index', {
       title: '统一登录passport'
     });
     return;
   }
   var from = req.query.from;
   var token = null;
   var cookieObj = {};
   var token_path = path.resolve() + '/token_user.json';
   req.headers.cookie && req.headers.cookie.split(';').forEach(function (Cookie) {
     var parts = Cookie.split('=');
     cookieObj[parts[0].trim()] = (parts[1] || '').trim();
   });
   token = cookieObj.token;
   //如果url带有token,则表明已经在passport鉴权过
   if (token) {
     //存在token,则在内存中寻找之前与用户的映射关系
     //异步的
     fs.readFile(token_path, 'utf8', function (err, data) {
       if (err) throw err;
       if (!data) data = '{}';
       data = JSON.parse(data);
       //如果存在标志,则验证通过
       if (data[token]) {
         res.redirect('http://' + from + '?token=' + token);
         return;
       }
       //如果不存在便引导至登录页重新登录
       res.redirect('/');
     });
   } else {
     res.render('index', {
       title: '统一登录passport'
     });
   }
 });
 
 router.post('/', function (req, res, next) {
   if (!req.query.from) return;
   var name = req.body.name;
   var pwd = req.body.password;
   var from = req.query.from;
   var token = new Date().getTime() + '_';
   var cookieObj = {};
   var token_path = path.resolve() + '/token_user.json';
   //简单验证
   if (name === pwd) {
     req.flash('success', '登录成功');
     //passport生成用户凭证,并且生成令牌入cookie返回给子系统
     token = token + name;
     res.setHeader("Set-Cookie", ['token=' + token]);
     //持久化,将token与用户的映射写入文件
     fs.readFile(token_path, 'utf8', function (err, data) {
       if (err) throw err;
       if (!data) data = '{}';
       data = JSON.parse(data);
       //以token为key
       data[token] = name;
       //存回去
       fs.writeFile(token_path, JSON.stringify(data), function (err) {
         if (err) throw err;
       });
     });
     res.redirect('http://' + from + '?token=' + token);
   } else {
     console.log('登录失败');
   }
 });
 module.exports = router;

子系统A的实现

 var express = require('express');
 var router = express.Router();
 var request = require('request');
 
 /* GET home page. */
 router.get('/', function (req, res, next) {
   var token = req.query.token;
   var userid = null;
   //如果本站已经存在凭证,便不需要去passport鉴权
   if (req.session.user) {
     res.render('index', {
       title: '子产品-A-' + req.session.user,
       user: req.session.user
     });
     return;
   }
   //如果没有本站信息,又没有token,便去passport登录鉴权
   if (!token) {
     res.redirect('http://passport.com?from=a.com');
     return;
   }
   //存在token的情况下,去passport主站检查该token对应用户是否存在,
   //存在并返回对应userid
   //这段代码是大坑!!!设置的代理request不起效,调了3小时
   request(
     'http://127.0.0.1:3000/check_token?token=' + token + '&t=' + new Date().getTime(),
     function (error, response, data) {
       if (!error && response.statusCode == 200) {
         data = JSON.parse(data);
         if (data.code == 0) {
           //这里userid需要通过一种算法由passport获取,
           //这里图方便直接操作token
           //因为token很容易伪造,所以需要去主战验证token的有效性,
           //一般通过webservers 这里验证就简单验证即可......
           userid = data.userid;
           //有问题就继续登录
           if (!userid) {
             res.redirect('http://passport.com?from=a.com');
             return;
           }
           //取得userid后,系统便认为有权限去数据库根据用户id获取用户信息
           //根据userid操作数据库流程省略......
           // req.session.user = userid;
           res.render('index', {
             title: '子产品-A-' + userid,
             user: userid
           });
           return;
         } else {
           //验证失败,跳转
           res.redirect('http://passport.com?from=a.com');
         }
       } else {
         res.redirect('http://passport.com?from=a.com');
         return;
       }
     });
 });
 module.exports = router;

passport鉴权程序模拟

 var express = require('express');
 var router = express.Router();
 var path = require('path');
 var fs = require('fs'); 
 
 /* GET users listing. */
 router.get('/', function(req, res, next) {
   var token = req.query.token;
   var ret = {};
   var token_path = path.resolve() + '/token_user.json';
   ret.code = 1;//登录失败
   if(!token) {
     res.json(ret);
     return;
   }
   //如果传递的token与cookie不等也认为是鉴权失败
   // if(token != cookieObj['token']){
   //     res.json(ret);
   //   return;
   // }
   fs.readFile(token_path, 'utf8', function (err, data) {
         if (err) throw err;
         if(!data) data = '{}';
         data = JSON.parse(data);
         //如果存在标志,则验证通过,未考虑账号为0的情况
         if(data[token]) {
             ret.code = 0;//登录成功
             ret.userid = data[token];
         }
         res.json(ret);
     });
 });
 module.exports = router;

简单测试

测试之前需要设置host,这里继续采用fiddler神器帮助:

这边直接用node跑了3个服务器:

然后打开浏览器输入a.com,直接跳到了,登录页:

简单登录后(账号密码输入一致即可):

这个时候直接进入子系统B:

直接便登录了,说明方案大体上是可行的

结语

首先,这里的程序很简陋,很多问题,也没有做统一退出的处理,今天主要目的是了解单点登录,后面有实际工作再求深入。

这里附上源码,感兴趣的朋友看看吧:http://files.cnblogs.com/files/yexiaochai/web.rar,注意依赖包

原文:http://www.cnblogs.com/yexiaochai/p/4422460.html

Keith003
关注
专栏目录
单点登录SSO:概述与示例
百宝门-SSO顾问
05-03 1万+
本系列将由浅入深的带大家深入最新的单点登录SSO方案选型与架构开发实战。附动图示例。 从业十多年,为政府、电信、跨国公司顾问和实施的单点登录解决方案无数,深谙其痛点与关键。大部分单点登录方案,从产品方案选型起就存在根本性问题,往往导致: 1. 受困于诸多被集成系统的改造。 2. 依赖特定终端,甚至特定浏览器。 3. 被“忽悠”:“只想剪个头发,结果买了美容保养年卡,而且头发还剪得不好”。 4. 一个月能实施完的折腾了三四个月。
Jeecg配置单点登录 登录验证完整代码
11-02
在本场景中,我们关注的是Jeecg如何配置单点登录(Single Sign-On,简称SSO)以及相关的登录验证代码。单点登录是一种网络应用架构中的安全机制,允许用户在一次登录后,就能访问多个相互关联的应用系统,而无需再次...
【大前端】认识单点登录
weixin_34327223的博客
04-22 187
初识单点登录 最初接触到单点登录要追溯到3年多以前了,那时候看到的只是passport,当时要做全国所有社区的登录,然后就照着内部文档写了代码,然后就接入了(这里要提一句是百度与腾讯一旦形成产品的技术项目,文档都很不错)然后就没有然后了...... 而知识的珍贵程度却是这样的: 知识珍贵度排名: 听过 &lt; demo过 &lt; 实际工作用过 &lt; 实际工作中被坑过&lt; 实...
单点登录的原理
weixin_34163553的博客
07-14 203
参考链接,感谢作者:https://zm10.sm-tc.cn/?src=l4uLj8XQ0IiIiNGckZ2TkJiM0ZyQktCZlo2Mi5uNmp6S0I/QysrJyszPztGXi5KT&amp;uid=b57ca3ff1c2c123ad2dcbbe6455b695c&amp;restype=1&amp;from=derive&amp;depth=3&amp;link_type=6...
单点登录原理
zhuxingchong的博客
09-18 389
单点登录 什么是单点登录单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分 1、登录   相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验...
第三方单点登录Ecology方案
03-20
在IT行业中,第三方单点登录(Third-party Single Sign-On,3SSO)是一种常见的身份验证解决方案,它允许用户通过一个中央认证系统访问多个相互独立的应用系统,而无需反复登录。"第三方单点登录Ecology方案"是针对...
nc63、nc65单点登录方案
最新发布
06-13
### nc63、nc65单点登录方案详解 #### 一、概述 单点登录(Single Sign-On,简称SSO)是一种用户只需要一次登录就能访问所有相互信任的应用系统的认证方式。这种机制不仅提升了用户体验,同时也提高了系统的安全性...
详解spring boot配置单点登录
08-31
spring boot 配置单点登录是指在 spring boot 项目中实现单点登录系统的功能,单点登录系统允许多个应用系统使用同一个登录认证系统。常用的安全框架有 spring security 和 apache shiro。shiro 的配置和使用相对...
Android端实现单点登录的方法详解
01-05
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像...
JEECG 单点登录说明文档
02-21
JEECG BPM 单点登录说明文档(kisso集成),已经在项目中使用。
单点登录原理与简单实现
mchine_swift的博客
09-17 402
一、单系统登录机制 1、http无状态协议   web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系   但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议无状态,
NC60单点登录方案详解
此外,单点登录的配置文件位于`${NCHOME}\ierp\sf\ssoConfig.xml`,在此文件中,可以设置和调整单点登录的相关参数和策略,以适应不同的系统集成需求和安全策略。 总结来说,NC6单点登录方案通过Servlet接口注册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值