浅析单点登录,以及不同二级域名下的SSO实现

最新推荐文章于 2024-07-23 12:23:55 发布
最新推荐文章于 2024-07-23 12:23:55 发布
阅读量475 收藏
点赞数
原文链接:http://www.cnblogs.com/firstForEver/p/5635187.html
版权

  一家公司有多个产品线,就可能要有多个子域名,下头以baidu域名为例,a.baidu.com, b.baidu.com。com 是顶级域名,baidu 就是一个二级域名,a和b就是子域名。

当用户在a产品线上登录了系统,此时切换到b产品,为了增加用户体验,不必再让用户登录一次b。所以单点登录就出来了。

  一般的实现就是增加一个passport.baidu.com,专门搞登录的中控服务。

  当用户第一次登录 baidu域下,比如a产品。此时先跳转到passport下进行登录,登录成功以后,passport生成一个token,在session服务中插入登录信息,同时也将其种在cookie里,就放在 .baidu.com域下,当然这个token会和session中的登录信息有联系。

当用户登录b产品线时,检测cookie下这个token在passport的session服务中是否存在,如果存在就认为该用户已经登录过在线状态。 

  还有一种需要面对的情况,比如公司还有一个二级域名,举例 hao123.com,这下二级域名不一样了。跨域了,cookie就不能被passport直接拿到了。这怎么办呢?

  可以这样处理,当用户第一次在passport下登录时,生成的这个token,  在passport下跨域去请求 hao123.com,让 hao123.com服务去把这个token种在自己域下cookie里。当用户登录成功 a产品以后,随后去访问了 hao123.com, hao123.com 域下的token被passport的session服务检测,发现ok,就返回给 hao123.com帐号信息。

  以上的实现很容易当然也很粗糙,比如某一个产品线下用户的cookie被盗了,这个token被人用了,这个人就可以随意使用你的帐号在xxx下所有产品线浏览。

  这就需要更安全的机制。各个产品线也有各自的token生成。

  可以用浏览器观察下登录百度passport的现象:

  chrome浏览器登录(在登录passport时,勾选保存log,避免请求日志刷新没了。搜索hao123关键字)。

  发现这个跨域请求是利用图片的src属性,请求hao123站点。把加密的token发到hao123,hao123响应,setcookie把token放到hao123域下。(这里说的token即是百度的bduss)。

       

 

转载于:https://www.cnblogs.com/firstForEver/p/5635187.html

baihao1961
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录SSO)-同域名不同域名
04-19
单点登录SSO)-同域名不同域名
Java-前后端分离-单点登录(SSO二级跨域和跨一级域名)
weixin_45203607的博客
10-31 6665
单点登录的英文名叫:Single Sign On(简称SSO
面试官:说说cookie、session、token、jwt是什么,单点登录怎么实现
最新发布
程序员成长指北
07-23 61
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群Web认证是网络安全和用户体验的关键组成部分,我平时会问面试的同学:“HTTP 是保持登录的?”、“Cookie 和 Session 有什么区别?”、“有了解过单点登录吗?”今天就分享一篇文章,带大家搞懂以下内容:基于 HTTP 的前端鉴权背景cookie 为什么是最方便的存储方案,有哪些操作 c...
域名同步登录,单点登录SSO
webnoties的专栏
08-28 8237
【多个域名+1个登录域名。登录成功后将其他多个域名分配SESSION值,即实现了多域名同时登录的情况。登出同理!】 假设你有三个不同域名,a.com, b.com, http://c.com,将其中之一作为真正的登陆入口,所有的域名下发起的登陆,全部重定向到这个节点,这里假设选择http://a.com/login.php为统一登入节点,为了方便说明,把http://a.com叫主节点,其余叫
单点登录那些事儿(三)不同域下的单点登录
Authing的博客
08-28 3417
单点登录,在企业的应用中是多样的。上篇文章中,我们提到企业的一个域名承载着不同的应用。但随着企业对新业务的探索,便会申请一些新的域名用于功能承载,一方面为了区分,另一方面为了满足监管要求。在这种不同域名的模式下,打通原先站点的用户体系,就是本次介绍的 —— 不同域下的单点登录不同域名 SSO 原理设计 认证系统根据浏览器的登录信息,进行身份认证。如果通过,返回给浏览器一个证明 [ 认证系统_ticket ],再通过浏览器将 [ 认证系统 _ticket ] 发送到到各个应用设置相应 cookie 的
怎么实现单点登录?面试必问!
程序IT圈
10-02 468
来源:https://dwz.cn/d90vKSJE单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不...
PHP 使用TP5.0 实现SSO单点登录
07-28
因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
golang实现单点登录系统(go-sso
01-19
这是一个基于Go语言开发的单点登录系统,实现手机号注册、手机号+验证码登录、手机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口...
使用springboot结合vue实现sso单点登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 单点登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 单点登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
两个不同域名怎么实现单点登录_怎么实现单点登录?面试必问!
weixin_39976499的博客
01-28 4119
来源:https://dwz.cn/d90vKSJE单点登录实现原理单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有不足,希望各位不吝赐教。一、共享Session 共享Sessio...
域名sso单点登录
06-04
当用户第一次访问web应用系统1的时候,因为还没有登录,会被引导到认证中心进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,返回给用户一个认证的凭据;用户再访问别的web应用的时候就会将这个Token带上,作为自己认证的凭据,应用系统接受到请求之后会把Token送到认证中心进行效验,检查Token的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。所有应用系统共享一个身份认证系统。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志,返还给用户。另外,认证系统还应该对Token进行效验,判断其有效性。 所有应用系统能够识别和提取Token信息要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对Token进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。 比如说,我现在有3个分站点和1个认证中心(总站)。当用户访问分站点的时候,分站点会发Token到验证中心进行验证。验证中心判断用户是否已经登录。如果未登录,则返回到验证中心登录入口进行登录,否之则返回Token验证到分站点,直接进入分站点
SSO单点登录【基于cookie二级域名下跨域共享】
06-25
SSO单点登录【基于cookie二级域名下跨域共享】的简单实现
多个系统域名使用同一认证中心单点登录
anmuxf7123的博客
07-27 439
举个简单又不失一般性的场景,两个应用 A 和 B,域名分别是www.a.com、www.b.com,统一认证中心的域名是www.sso.com 1.用户通过浏览器先访问 A系统www.a.com/pageA, 这个pageA是个需要登录才能访问的页面, 2.A系统发现用户没有登录, 就重定向到认证中心,www.sso.com/login?redirect=www.a.com/pag...
完全跨域的单点登录
热门推荐
寻道
03-05 8万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/20545513,转载请注明。 完全跨域的单点登录实现方案基本和上篇文章介绍的一样,只不过生成ticket的过程更复杂些。上篇文章中的项目是不能完全跨域的,由于多个应用系统以及认证系统域不同,也没有共同的父域,导致登录后,认证系统向浏览器写的tic...
✅鉴权—cookie、session、token、jwt、单点登录
weixin_62079735的博客
02-25 1113
鉴权必须了解的5个兄弟:cookie、session、token、jwt、单点登录
单点登录和第三方登录的简单流程
qq_42434712的博客
08-16 3718
目录   单点登录:       我们的单点登录系统,主要包含了登录验证,token校验 、注销、注册几大功能,单点登录系统提供了统一的登录和注册页面,提供了统一的登录token校验接口。单点登录的主要原理就是在登录成功以后,生成一个令牌,这个领跑要求每次登录唯一不可重复,我们就简单的用料一个随机的UUID,因为我们的系统在部署时,各个模块搜索通过nginx映射到痛同一个一级域名下的,coo...
nginx反向代理实现后台同服务器多个项目的单点登陆和访问时的 nginx.conf 配置文件示例,并且可以配置多个域名,根据不同域名访问不同的项目
FengRenYuanDeFZ的博客
06-21 1366
nginx基本的配置,一般安装的时候nginx.conf中都有,不过各种安装版本不同会有差异,我们用的是宝塔中自带的 // nginx基本的配置,一般安装的时候nginx.conf中都有,不过各种安装版本不同会有差异,我们用的是宝塔中自带的 user www www; worker_processes auto; error_log /www/wwwlogs/nginx_error.lo...
sso单点登录【基于cookie二级域名下跨域共享】
09-02
SSO (Single Sign-On) 单点登录是指在访问多个系统或应用程序时,用户只需登录一次就可以访问所有的系统,而无需再次输入用户名和密码。基于cookie二级域名下跨域共享是指在跨域访问的情况下,通过设置cookie的域名和路径,使得不同域名下的系统能够共享登录状态。 具体来说,当用户成功登录一个系统后,该系统会生成一个包含用户登录状态的cookie,并设置该cookie的域名为当前系统的二级域名。然后,该cookie会被发送给浏览器保存,在用户访问其他系统时,浏览器会自动通过cookie将用户的登录状态传递给其他系统。 为了实现跨域共享,所有需要实现SSO的系统的二级域名需要设置为相同的根域名。例如,系统A的域名为a.example.com,系统B的域名为b.example.com,则它们的根域名为example.com。为了在这两个系统之间实现跨域共享,可以将cookie的域名设置为.example.com,这样两个系统就可以共享同一个cookie。 当用户访问系统A时,系统A会检查是否存在含有登录状态的cookie,如果存在则表示用户已经登录,可以直接访问系统A的资源。如果用户访问系统B,系统B也会检查是否存在含有登录状态的cookie,如果存在则表示用户已经登录,可以直接访问系统B的资源。 通过基于cookie二级域名下跨域共享的方式,SSO单点登录实现了用户在不同系统间的无缝登录体验,提高了用户的使用便捷性和系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值