一个简单的web sso实现方案

已于 2024-02-27 13:28:01 修改
阅读量240 收藏 6
点赞数 4
文章标签: 前端 node.js 安全 密码学 javascript 后端 redis
于 2024-02-27 13:18:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgiij/article/details/136319109
版权

其实仅实现web单点登录并没有太多的开发工作量,当然如果要实现一整套符合oauth2.0标准的认证系统,并且加上对接外部认证源,应用注册管理,系统日志管理,资源管理,安全管理等就不是那么简单的一项任务了。大家可以搜一下开源项目参考学习。以下我们前端用javascript,后端用nodejs+express来手写一个web sso。
先介绍下技术方案:
在这里插入图片描述
蓝色部分是app侧express的拦截器里要实现的功能;红色部分是sso侧要提供的服务功能:包括登录页面、ticket生成、ticket查询等。ticket以query参数的方式附加在url里传递。
将sso的session存放在redis中,这样sso服务器还可以扩展到多节点;将客户端登录sso的sid(会话ID和IP经过加密算法生成),存放到客户端cookie,利于后续服务器取得比对防伪;还将ticket也存放在redis,生成后一次查询后立即删除。
该sso方案包含了密码加密传输和登录失败策略。
以下是代码实现。

//app侧后端
function ssocheck(redurl,queryticketurl,ssourl,logger,postProcess,req,res,next){
	if (!req.session.user) {
		//logger.info("未登录该应用");
		let ticketid=req.query.ticket;
		if (ticketid!=undefined){
			//logger.info("有票据");
			axios.get(queryticketurl+ticketid).then(resax => { 
				//logger.info("查询反馈数据: "+JSON.stringify(resax.data));
				if (resax.data.msg!='not found') {
					postProcess(resax.data.ssouser,req,res,next);//取得sso用户后的app处理,比如查询app用户等操作
					}
				else { 
					//logger.error("无效ticket");
					let urlParsed = new URL(redurl);
					urlParsed.searchParams.delete("ticket");
					let newredurl=urlParsed.toString()
					res.redirect(ssourl+newredurl); 
					}
				})
				.catch(errorax => { 
					//logger.error("查询ticket出错");
					res.json({msg:"查询ticket出错"}); });
			}
		else {
			//logger.info("无票据 重定向到sso")
			res.redirect(ssourl+redurl); 
			}
	 	}
	else  { next(); }
}

app.use((req,res,next)=>{

	if (req.url=="/") { ... }
	else if (...) { next(); }
	else { let redurl=app_prefix+ req.originalUrl; ssocheck(redurl,queryticketurl,ssourl,logger,postProcess,req,res,next); }
});

//sso前端 为避免口令明文在网络上传递,采用加密方式,当然首先是必须使用https的
function login(){
	if ((document.getElementById('uid').value.trim()=="")||(document.getElementById('upw').value.trim()=="")) { alert("请输入用户名和密码!"); }
	else {
		$.get("/sso/reqlogin",(res)=>{
			let fupw=document.getElementById('upw').value;
			let ekey=CryptoJS.enc.Hex.parse(res.key);
			let eiv=CryptoJS.enc.Hex.parse(res.iv);
			let enpw=CryptoJS.AES.encrypt(fupw, ekey, {
					iv: eiv,
					mode: CryptoJS.mode.CBC,
					padding: CryptoJS.pad.Pkcs7,
					});
			let enpwstr=enpw.ciphertext.toString();
			$.post("/sso/login",{"reqid":res.reqid,"uid": nuid,"upw": enpwstr},(obj)=>{
				if (obj.msg=="pass") {
					var reg = new RegExp("(^|&)" + "redurl" + "=([^&]*)(&|$)","i");
					var r = location.search.substr(1).match(reg);
					if (r!=null) { document.location =r[2]+'?ticket='+obj.ticket;  } 
					else { document.location="/sso/apps.html"; }//sso本身也可以直接访问,放几个应用图标好直接点入
					}
				else { alert(obj.msg); }
				})
			})
		}
	}

//sso后端
function getsidfromcookie(cookiestr){ 
	let cookie = {}
	let cookies = cookiestr ? cookiestr.split(';') : []
	if (cookies.length > 0) {
		cookies.forEach(item => {
			if (item) {
				let cookieArray = item.split('=')
				if (cookieArray && cookieArray.length > 0) {
					let key = cookieArray[0].trim()
					let value = cookieArray[1] ? cookieArray[1].trim() : undefined
					cookie[key] = value
					}
				}
			})
		}
	return cookie["sid"]
	}

app.use((req,res,next)=>{

	if (req.url=="/") { res.redirect('/sso/apps.html'); }
	else if (...) { next(); }
	else {

		let getsid=getsidfromcookie(req.headers.cookie); //客户端cookie中的sid与redis中保存的sid比对,一致则通过,否则重新登录

		if (getsid==undefined) {
			if (req.query.redurl!=undefined) { res.redirect('/sso/login.html?redurl='+req.query.redurl);} else { res.redirect('/sso/login.html'); }
			}
		else  { 
			let clientip = req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
			let csid=myencrypt(clientip+req.sessionID);

			if ((getsid!=csid)||(!req.session.user)) {
				if (req.query.redurl!=undefined) { res.redirect('/sso/login.html?redurl='+req.query.redurl);} else { res.redirect('/sso/login.html'); }
				}
			else { next(); }
			}
		}
});	

app.post('/login',urlencodedParser,(req,res)=>{

	let obj= req.body;
	let clientip=req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
	logger.info(obj.uid+" 尝试登录");
	let now=new Date();
	let item=loginfaillist.find(itm=>(itm.ip==clientip));

	if ((item!=undefined)&&(now<item.permittime)) { res.json({msg:"该IP已触发登录异常,请于"+item.permittime.toLocaleTimeString()+"后再尝试"}); }
	else {
		client.get(obj.reqid+clientip).then(val=>{
			if (val==null) { logger.error("认证出错 "+obj.uid); req.session.destroy(); res.json({msg:"认证出错"}); addfail(now,clientip); }
			else {
				let lk=val.substr(0,32); let iv=val.substr(32);
				client.del(obj.reqid+clientip);
				let encryptedHexStr = CryptoJS.enc.Hex.parse(obj.upw);  let srcs = CryptoJS.enc.Base64.stringify(encryptedHexStr);

				let depw=CryptoJS.AES.decrypt(srcs, CryptoJS.enc.Hex.parse(lk), {
					iv: CryptoJS.enc.Hex.parse(iv),
					mode: CryptoJS.mode.CBC,
					padding: CryptoJS.pad.Pkcs7,
					});
				let depwstr=CryptoJS.enc.Utf8.stringify(depw);

				callauthenticate(obj.uid, depwstr, (err)=> {//替换成相应的认证调用
					if (err) { logger.error("认证出错 "+obj.uid); req.session.destroy(); res.json({msg:"认证出错"}); addfail(now,clientip); }
					else {
						logger.info("认证成功 "+obj.uid);
						loginfaillist=loginfaillist.filter(itm=>(itm.ip!=req.ip));
						callfindUser(obj.uid, (err, user)=> { //替换成相应的查询用户属性调用
							req.session.user={ userid:obj.uid.toLowerCase(),username:user.sn };
							let clientip=req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
							let sid=myencrypt(clientip+req.sessionID);
							res.setHeader('Set-Cookie', 'sid='+sid+';')
							let ticketid="t_"+moment().format("YYYYMMDDHHmmssSSS")+uuidv4().replace(/-/g, '');
							client.set(ticketid,JSON.stringify(req.session.user));
							res.json({msg:"pass",ticket:ticketid});
							})
						}
					});
				}
			});

		}

});

app.get('/queryticket',(req,res)=>{

	client.get(req.query.ticket).then(val=> {
		if (val!=null) {
			let jssouser=JSON.parse(val);
			client.del(req.query.ticket);
			res.json({msg:'found',ssouser:jssouser.userid});
			}
		else { res.json({msg:'not found'}); }
		})

});

app.get('/reqlogin',(req,res)=>{

	let clientip=req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
	let reqid="l_"+moment().format("YYYYMMDDHHmmssSSS")+uuidv4().replace(/-/g, '');
	let loginkey=uuidv4().replace(/-/g, '');
	let iv=uuidv4().replace(/-/g, '');
	client.set(reqid+clientip,loginkey+iv).then(val=> {res.json({"reqid":reqid,"key":loginkey,"iv":iv}); });
	client.expire(reqid,5);

});

app.get('/logout',(req,res)=>{

	let redurl=(req.query.redurl!=undefined)?req.query.redurl:"/sso/index.html";
	logger.info("logout 页面重定向到 "+redurl);
	req.session.destroy( () => { res.redirect(redurl); } );

});

app.get('/sso',(req,res)=>{

	let ticketid=moment().format("YYYYMMDDHHmmssSSS")+uuidv4().replace(/-/g, '');
	client.set(ticketid,JSON.stringify(req.session.user));

	let urlParsed = new URL(req.query.redurl);
	urlParsed.searchParams.delete("ticket");
	urlParsed.searchParams.append("ticket",ticketid);
	let redurl=urlParsed.toString()

	logger.info("页面重定向到 "+redurl);
	res.redirect(redurl);
});
dgiij
关注
单点登录sSO实现原理与方案详解
uuqaz的博客
05-29 2252
目录 1.为什么需要单点登录 2.单点登录的来源 3.单点登录的实现方式 为什么需要单点登录 单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。 单点登录在大型网站里使用得非常频繁,例如,阿里旗下有淘宝、天猫等网站,还有背后的成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授...
简单轻松实现单点登录(sso
jianai_2018的博客
09-04 2740
一、WEB程序的“会话机制” 简单回顾: 1.http协议是无状态的 是指协议对于交互性场景没有记忆能力,每次请求http都会当做一次新的请求。 2.让服务器有记忆能力之Cookie、Session WEB到底是如何采用Cookie+Session来进行“会话状态”维护的: 浏览器发起第一次请求,服务器(php)创建一个唯一sessionID 把sessionID设置到cookie中 浏览器发送第二次、第N次请求都会携带cookie中的sessionID...
web-sso:web-sso一个简约、无状态、易扩展、易伸缩的适合于大型互联网web应用场景的单点登录系统,它功能简单,只实现了统一登录和登出,它最大的特色是将用户状态写入到cookie中,最大程度减少了单点登录服务端的状态,服务端只需要存储公共的应用密钥,将用户凭证的认证分散到各应用服务中,最大程度减轻了ki4so服务器的压力
06-08
#web-sso单点登录 参考 本文内容仅供自己学习,作为学习笔记。如若需要,可以前往: ##提供另外一个简单的单点登录思想:: 比如存在3个域名a.com,b.com,c.com.其中a.com作为主域名,不论b.com还是c.com登录时请求都提交到a.com,所有的存储都在a.com,其他域名不允许访问。在a.com登录成功后,将登录信息存放在a.com域下的cookie中。此时发起广播,由client端通知b.com和c.com,说用户已经登录(仅仅是告诉他们已经登录),此时用户访问b.com或者c.com时有server端向a.com请求获取用户信息,并将非敏感信息存储到自己的存储当中。同理,登出时也是向a.com发起登出请求,a.com将用户cookie清掉,b.com和c.com再次向a.com请求验证用户身份时,则验证失败。
基于WEBSSO 解决方案
fishinhouse的专栏
09-29 1933
本文提出的解决方案将只解决用户的身份验证,即SSO本义,用户的使用过程中权限由各个业务系统进一步的控制。这种方案简单可行,不仅完成用户帐号的集中管理,而且对于原有的应用不需要做太大的更改,适合快速的解决Single Sign-On问题。一、SSO实现原理1、概念:SSO的一种偏向技术的说法:用户只需登陆一次,就可使用多个SSO enable的应用系统。(1)、单一的登陆点。理想的情况是
WEB-SSO
xiangxingchina
09-28 344
至于什么是单点登录,举个例子,如果你登录了msn messenger,访问hotmail邮件就不用在此登录。 一般单点登录都需要有一个独立的登录站点,一般具有独立的域名,专门的进行注册,登录,注销等操作 我们为了讨论方便,把这个登录站点叫做站点P,设其Url为http://passport.yizhu2000.com/ ,需要提供服务的站点设为A和B,跨站点单点登录是指你在A网站进行登录后,...
Web SSO
jsxiaobaw的博客
01-20 323
干什么的: 用户访问第一次访问页面的时候已经登陆过了,当访问页面中的其他链接的时候,如何让这一次的访问知道用户已经登陆过了。
简单web SSO 理解
tadpole1027的专栏
08-10 797
将身份验证放在一个webService 上。 各个系统通过调用身份验证的webService来进行身份验证。 调用时分为三种情况 1、第一个系统通过httpclient调用身份验证的webService传入用户名密码进行身份验证。验证服务器返回成功后的cookie。 2、其他系统登录时也通过httpclient带上cookie,如果没有cookie就进行用户名和密码验证,如果有cookie
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
单点登录的工作原理可以通过一个简单的类比来理解:假设一个大型公园内有多个独立的景点,游客可以在各个景点入口分别购票,但这种方式非常不便。因此,大多数游客会选择在公园入口处购买一张通用门票(通票或套票)...
asp.net简单实现单点登录(SSO)的方法
10-23
文章所提供的方法和代码示例是单点登录的一个简化实现,适用于中小规模的应用和学习目的。实际企业级应用中,单点登录可能需要涉及更为复杂的安全措施、统一身份认证服务器、跨域策略、令牌管理、加密技术等。 总之...
WEBSSO-单点登录
12-03
代码来源与编写你自己的单点登录,重新整理了博主的源码。
简单web单点登录(SSO
热门推荐
小楼一夜听春雨
09-21 1万+
单点登录示例地址【GitHub】 Fay Sso(单点登录如此的简单,本示例支持IE9+,IE8也可以实现)Test 让我们直接先来测试这个例子,然后看下我实现的想法,你会发现它是如此的简单! 下载这个例子,你需要下载整个fay-sso文件夹,因为fay-uc中的lib被fay-admin中的main.js使用了(当然也可以单独打包给fay-admin使用,因为我们项
单点登录实现机制:web-sso
weixin_33720956的博客
07-26 171
参考链接,感谢作者:https://zm10.sm-tc.cn/?src=l4uLj8XQ0IiIiNGckZ2TkJiM0ZyQktCZlo2Mi5uNmp6S0I/QysrJyszPztGXi5KT&amp;uid=b57ca3ff1c2c123ad2dcbbe6455b695c&amp;restype=1&amp;from=derive&amp;depth=3&amp;link_type=6...
单点登录(SSO实现详解!!!
最新发布
LuckyWinty的博客
02-22 416
点击上方前端Q,关注公众号 回复加群,加入前端Q技术交流群单点登录是什么?你是怎么理解的?单点登录是如何实现的普通登录提到单点登录,首先可以想到传统登录,通过登录页面根据用户名查询用户信息,判断密码是否正确,正确则将用户信息写到session,访问的时候通过从session中获取用户信息,判断是否已登录,登录则允许访问。普通登录的缺点由于session不能共享,服务越来越多,并且还服务还搭建集...
结合经验浅谈WEB SSO的使用(一)
weixin_34067049的博客
08-08 126
一个大型的J2EE系统不可能不考虑Security的问题,一般来说,大部分的系统都离不开下面这个安全模版: User -> Web Application-> Security Checking 什么是SSO呢,使用SSO有什么好处? 我们先来看看传统的Security Authentication是如何运作的: 1. 用户输入User...
实例源码_web sso 单点登录简单实例源码
weixin_28688791的博客
01-15 270
单点登录主要目的为多个系统共用同一个身份验证系统,即:用户登录A系统,也可以访问共用同一验证系统的B系统。单点登录示例示例采用三个web项目,实现单点登录。验证服务端:SSOAuthweb项目1:SSOWebDemo1web项目2:SSOWebDemo2将三个项目都是部署到本机上的,但是分别在2个tomcat上,SSOAuth作为身份验证系统单独部署在了一个tomcat上,SSOWebD...
web-sso 系统集成 单点登录
RodJohnsonDoctor的专栏
09-24 7746
Web-sso原理网上自己搜,一堆,本文不给予讨论。 本人只给实例,通过实例去真实的感受Web-sso的原理。   不讨论太多的废话,开始web-sso实现。 1.       支持环境 jdk1.7 +tomcat7.0(具体自己网上搜,不会的)   2.       创建3个web工程。2个业务应用,1个认证应用。   1.创建web工程1名称 – SSOAuth(认证应用)
web安全基础知识之单点登录-SSO几种原理图解(single sign on)
Three_ST的博客
03-08 894
本文是个人学习的记录,系列文章 传统的登录,就是根据用户名,密码,建立session,把session通过cookie发送到请求者的浏览器上,下次在登陆会发送cookie,这样服务器就知道登录了。 SSO:单点登录, 在一个地方登录一次,就可以访问所以的系统 1.cookie(不能跨域 2.session(共享session,在不同是系统,不同架构下的session共享麻烦 3.使用token 利用cookie,在用户登录后,在cookie中写入token,在用户访问其他系统的时候,验证一下token,如
一文讲透单点登录架构思想(SSO)
代码大师麦克拉瑞的博客
01-19 4680
单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是比较流行的。摘自百度百科。
kisso:基于Cookie的Java Web SSO解决方案
它旨在简化Java Web应用中的SSO实现,通过加密会话Cookie机制来实现无状态、分散验证的特性。kisso与传统的基于Session的SSO方案相比,具有更易于分布式服务部署和跨域访问的优势。 1. kisso的工作原理: - kisso...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值