C#中如何实现SSO单点登录

原创 于 2025-09-08 13:51:42 发布 · 560 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c# #云计算 #开发语言

一、为什么我们需要SSO?

想象这样一个场景:你每天上班需要登录公司的OA系统审批文件,登录CRM系统查看客户信息,登录财务系统报销费用,登录人力资源系统提交休假申请...每个系统都有不同的账号密码,每天光是输入密码都要花费不少时间,更不用说时不时还要应对密码过期、忘记密码的困扰。

这就是单点登录(Single Sign-On,简称SSO)技术要解决的核心问题。SSO让用户只需登录一次,就能访问多个相互信任的应用系统,极大提升了用户体验和工作效率。在企业级应用架构中,SSO已经成为不可或缺的基础设施。

二、SSO单点登录的基本原理

SSO的实现基于一个关键概念:认证中心。所有应用系统不再各自为政地管理用户认证,而是将认证请求委托给统一的认证中心处理。

核心流程

  1. 用户访问应用系统A,发现未登录

  2. 应用系统A将用户重定向到认证中心

  3. 用户在认证中心输入凭证进行登录

  4. 认证中心验证通过后,生成一个全局会话,并颁发一个令牌(Token)

  5. 用户带着令牌重定向回应用系统A

  6. 应用系统A验证令牌的有效性,确认后建立本地会话

  7. 当用户访问应用系统B时,同样重定向到认证中心

  8. 认证中心发现用户已有全局会话,直接颁发令牌并重定向回应用系统B

整个过程中,用户只需输入一次账号密码,就能无缝访问多个系统。

三、C#中实现SSO的常用方案

在C#生态系统中,我们有多种实现SSO的方案,下面介绍几种主流的实现方式。

3.1 基于ASP.NET Identity + OAuth 2.0

ASP.NET Identity是微软官方提供的身份验证框架,结合OAuth 2.0协议可以轻松实现SSO。

实现步骤

  1. 创建认证服务器

首先,我们需要创建一个专门的认证服务器项目:

// Startup.cs
public void ConfigureServices(IServiceCollection services)
{
    // 配置身份验证
    services.AddDbContext<ApplicationDbContext>(options =>
        options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection")));
    
    services.AddDefaultIdentity<IdentityUser>(options =>
        options.SignIn.RequireConfirmedAccount = true)
        .AddEntityFrameworkStores<ApplicationDbContext>();
    
    // 配置认证服务器
    services.AddIdentityServer()
        .AddApiAuthorization<IdentityUser, ApplicationDbContext>();
    
    services.AddAuthentication()
        .AddIdentityServerJwt();
}
​
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // ...
    app.UseAuthentication();
    app.UseIdentityServer();
    app.UseAuthorization();
    // ...
}

  1. 配置客户端应用

在需要接入SSO的客户端应用中,添加如下配置:

// appsettings.json
"IdentityServer": {
  "Authority": "https://your-auth-server.com",
  "ClientId": "your-client-id",
  "ClientSecret": "your-client-secret",
  "ResponseType": "code"
}
​
// Startup.cs
public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(options =>
    {
        options.DefaultScheme = "Cookies";
        options.DefaultChallengeScheme = "oidc";
    })
    .AddCookie("Cookies")
    .AddOpenIdConnect("oidc", options =>
    {
        options.Authority = "https://your-auth-server.com";
        options.ClientId = "your-client-id";
        options.ClientSecret = "your-client-secret";
        options.ResponseType = "code";
        options.Scope.Add("profile");
        options.Scope.Add("email");
        options.SaveTokens = true;
    });
}

3.2 基于JWT令牌的自定义实现

如果需要更灵活的SSO实现,可以基于JWT(JSON Web Token)自定义开发。

核心代码实现

  1. JWT工具类

public class JwtHelper
{
    private readonly string _secretKey;
    private readonly string _issuer;
    private readonly string _audience;
    
    public JwtHelper(IConfiguration configuration)
    {
        _secretKey = configuration["Jwt:SecretKey"];
        _issuer = configuration["Jwt:Issuer"];
        _audience = configuration["Jwt:Audience"];
    }
    
    public string GenerateToken(string userId, string username, IEnumerable<string> roles)
    {
        var claims = new List<Claim>
        {
            new Claim(ClaimTypes.NameIdentifier, userId),
            new Claim(ClaimTypes.Name, username)
        };
        
        foreach (var role in roles)
        {
            claims.Add(new Claim(ClaimTypes.Role, role));
        }
        
        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_secretKey));
        var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        
        var token = new JwtSecurityToken(
            issuer: _issuer,
            audience: _audience,
            claims: claims,
            expires: DateTime.Now.AddHours(1),
            signingCredentials: credentials
        );
        
        return new JwtSecurityTokenHandler().WriteToken(token);
    }
    
    public bool ValidateToken(string token, out ClaimsPrincipal principal)
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var key = Encoding.UTF8.GetBytes(_secretKey);
        
        try
        {
            principal = tokenHandler.ValidateToken(token, new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(key),
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidIssuer = _issuer,
                ValidAudience = _audience,
                ClockSkew = TimeSpan.Zero
            }, out _);
            
            return true;
        }
        catch
        {
            principal = null;
            return false;
        }
    }
}

  1. 认证中心控制器

[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    private readonly JwtHelper _jwtHelper;
    private readonly IUserService _userService;
    
    public AuthController(JwtHelper jwtHelper, IUserService userService)
    {
        _jwtHelper = jwtHelper;
        _userService = userService;
    }
    
    [HttpPost("login")]
    public async Task<IActionResult> Login([FromBody] LoginRequest request)
    {
        var user = await _userService.ValidateCredentials(request.Username, request.Password);
        
        if (user == null)
        {
            return Unauthorized("用户名或密码错误");
        }
        
        var roles = await _userService.GetUserRoles(user.Id);
        var token = _jwtHelper.GenerateToken(user.Id.ToString(), user.UserName, roles);
        
        // 设置SSO Cookie
        Response.Cookies.Append("SSO_TOKEN", token, new CookieOptions
        {
            HttpOnly = true,
            Secure = true,
            SameSite = SameSiteMode.None,
            Domain = ".yourcompany.com", // 注意设置为父域名
            Expires = DateTime.Now.AddHours(1)
        });
        
        return Ok(new { Token = token, UserId = user.Id, Username = user.UserName });
    }
    
    [HttpGet("check")]
    public IActionResult CheckLogin()
    {
        if (Request.Cookies.TryGetValue("SSO_TOKEN", out var token))
        {
            if (_jwtHelper.ValidateToken(token, out var principal))
            {
                return Ok(new { IsLoggedIn = true, UserInfo = principal.Identity.Name });
            }
        }
        
        return Ok(new { IsLoggedIn = false });
    }
    
    [HttpPost("logout")]
    public IActionResult Logout()
    {
        Response.Cookies.Delete("SSO_TOKEN", new CookieOptions
        {
            Domain = ".yourcompany.com",
            SameSite = SameSiteMode.None,
            Secure = true
        });
        
        return Ok("退出成功");
    }
}

3.3 使用第三方SSO解决方案

对于企业级应用,我们也可以考虑使用成熟的第三方SSO解决方案,如:

  • Microsoft Azure AD:提供完整的身份和访问管理解决方案

  • Okta:功能强大的身份管理平台

  • Auth0:易于集成的认证服务

这些解决方案通常提供丰富的API和SDK,大大简化了SSO的实现难度。

四、SSO实现中的关键考量

在实现SSO时,有几个关键因素需要特别注意:

4.1 安全性

  • 使用HTTPS:确保所有认证请求都通过加密通道传输

  • 令牌保护:使用HttpOnly和Secure标志保护SSO令牌

  • 令牌有效期:设置合理的令牌有效期,平衡安全性和用户体验

  • 签名验证:确保令牌的完整性和真实性

4.2 跨域问题

在Web应用中实现SSO,跨域问题是绕不开的挑战。解决方法包括:

  • 设置共享的父域名Cookie

  • 使用CORS(跨域资源共享)策略

  • 通过iframe或postMessage进行跨域通信

4.3 会话管理

  • 全局会话:认证中心需要维护全局会话状态

  • 单点登出:实现一处登出,处处登出的功能

  • 会话超时:合理设置会话超时时间和自动续期机制

4.4 高可用性

认证中心作为所有系统的单点,其高可用性至关重要。可以通过:

  • 部署多个认证中心实例

  • 使用负载均衡

  • 实现故障转移机制

五、实际案例:企业应用SSO集成

让我们看一个实际的企业应用场景,如何将多个不同的应用系统集成到SSO中。

场景描述

某企业有三个主要应用系统:

  • 内部OA系统(ASP.NET MVC)

  • CRM客户管理系统(ASP.NET Core Web API)

  • 人力资源管理系统(Blazor WebAssembly)

现在需要为这三个系统实现SSO,让用户只需登录一次就能访问所有系统。

实现架构

  1. 认证中心:基于ASP.NET Core + IdentityServer4构建

  2. OA系统:集成OpenID Connect客户端

  3. CRM系统:使用JWT Bearer认证

  4. HR系统:集成OIDC客户端

核心配置

在认证中心配置三个客户端:

public static IEnumerable<Client> Clients =>
    new Client[]
    {
        new Client
        {
            ClientId = "oa-client",
            ClientName = "内部OA系统",
            AllowedGrantTypes = GrantTypes.Code,
            ClientSecrets = { new Secret("oa-secret".Sha256()) },
            RedirectUris = { "https://oa.yourcompany.com/signin-oidc" },
            PostLogoutRedirectUris = { "https://oa.yourcompany.com/signout-callback-oidc" },
            AllowedScopes = { "openid", "profile", "email" }
        },
        new Client
        {
            ClientId = "crm-client",
            ClientName = "CRM系统",
            AllowedGrantTypes = GrantTypes.ClientCredentials,
            ClientSecrets = { new Secret("crm-secret".Sha256()) },
            AllowedScopes = { "crm-api" }
        },
        new Client
        {
            ClientId = "hr-client",
            ClientName = "人力资源系统",
            AllowedGrantTypes = GrantTypes.Code,
            ClientSecrets = { new Secret("hr-secret".Sha256()) },
            RedirectUris = { "https://hr.yourcompany.com/authentication/login-callback" },
            PostLogoutRedirectUris = { "https://hr.yourcompany.com/authentication/logout-callback" },
            AllowedScopes = { "openid", "profile", "email", "hr-api" }
        }
    };

六、总结与展望

SSO单点登录技术极大地改善了用户在多系统环境下的使用体验,同时也简化了系统管理。在C#开发中,我们可以通过多种方式实现SSO,从自定义开发到使用成熟的第三方解决方案,选择最适合自己项目需求的方式。

随着微服务架构的普及和身份管理技术的发展,SSO也在不断演进。未来,我们可以期待看到更多基于云原生、支持多平台、更加安全便捷的SSO解决方案出现。

对于C#开发者来说,掌握SSO的实现原理和技术方案,不仅能够提升项目的用户体验,也是构建现代化企业应用的必备技能

C# 单点登录SSO实现详解
java专栏
08-18 882
👩‍🔬嘿小伙伴们!今天咱们要聊聊的是单点登录(Single Sign-On,简称SSO),它是一种让用户只需要登录一次就可以访问所有关联应用系统的技术。想象一下,如果你是一家公司的员工,你可以只用一套用户名密码就能登录公司的邮件系统、文档管理系统、财务系统等等——是不是超级方便?🌟。
C#版本单点登录与权限管理(web api)
03-21
C#版本单点登录与权限管理(web api)
C# 开发单点登录SSO,Single Sign-On)
最新发布
Hellc007的博客
05-30 1324
开发单点登录SSO,Single Sign-On)系统是一个复杂但非常有用的任务,它允许用户在多个应用程序之间使用同一个登录凭证。下面是一个基本的指南,介绍如何开发一个简单的 SSO 系统。我们将涉及一些关键概念和技术实现,但由于 SSO 系统的复杂性,实际实现可能需要根据具体的需求和环境进行调整。
C#.net实现单点登录
09-17
asp.net 跨域单点登录实现。源码分为3个站点:一个总站,即认证中心,用来登录。
c#实现单点登陆
Lpd_Reason的博客
10-12 2046
原理:客户访问我的超链接,传来一个key值,我通过这个key‘值去客户的esb系统去验证,若验证成功,返回用户信息,我拿到用户信息,跟本地服务器的用户信息进行比对,若一致,跳过登陆页面,直接授权进入系统。客户是内网,域名又有限制,访问不到接口,只能进行远程调试;因为获取用户用的是soap协议,所以还需要生成wsdl文件的代理类。 主要代码如下: using System; using Sys...
谁都能看懂的单点登录SSO实现方式(附源码)
weixin_33811961的博客
04-09 3348
SSO的基本概念 SSO英文全称Single Sign On(单点登录)。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。(本段内容来自百度百科) 今天这篇文章将介绍SSO的一种实现方式,代码超简单,仅用来验证我的思路是否可行,具体细节请大家来完善!...
C# 单点登录 MVC
weixin_33701251的博客
08-17 483
实现sso系统的主要难点: 1:不能直接访问数据库,有安全隐患,而且还容易乱套。 2:多个系统需要进行单点登录,逻辑需要严谨,能支持N多系统、而不只是少数几个系统。 3:代码不能过于复杂,需要简洁,灵活支持本地部署,单点部署,集群部署,相同的代码可以通过部署配置灵活实现服务段(sso)、本地段(子网站)功能。 4:多系统的权限也可以灵活判断,不能访问数据库,需要进行远程服务调用,而且还需要...
C#.NET实现SSO单点登录的WebAuth技术分析
C#.NET的SSO单点登录WebAuth部分涉及的知识点包括: 1. C#和.NET框架基础 C#是一种由微软开发的面向对象的、运行在.NET框架上的高级编程语言。.NET是一个软件框架,它提供了运行和开发应用程序所需的服务和环境。在...
C#实现SSO单点登录组件源码解析
C#单点登录(Single Sign-On,简称SSO)是一个在多个应用系统中,用户只需要一次身份认证,就能够访问所有相互信任的应用系统的会话管理机制。微软认证服务器(如Active Directory Federation Services,简称ADFS)...
C#.NET实现SSO单点登录WebAuth详解
C#.NET项目中实现SSO单点登录WebAuth部分通常会涉及到以下步骤: 1. 选择合适的SSO协议和库,根据项目需求确定是采用SAML、OAuth还是其他机制。 2. 配置身份提供者(IdP),这通常是一个独立的服务器,负责生成和...
C#单点登录
03-08
C#mvc单点登录C#mvc单点登录C#mvc单点登录,重要的事情说三遍,一个精通C#的同事写的。请有需要的朋友借鉴!
C# 单点登录
09-13
单点登录(Single Sign On),简称为 SSOSSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 在Microsoft Office SharePoint Server 2007中提供了实现单点登录的功能。
C#.NET的SSO单点登录WebAuth部分
05-16
C#.NET的SSO单点登录WebAuth部分
SSO C#单点登录源码
12-26
asp.net 跨域单点登录实现原理: 当用户第一次访问web应用系统1的时候,因为还没有登录,会被引导到认证中心进行登录; 根据用户提供的登录信息,认证系统进行身份效验,
C#单点登录示例程序SSO
07-31
基于C# 开发单点登录示例程序SSO ,讲解了三个子站点如何通过令牌实现互相认证登录功能。
C#实现SSO单点登录及Process类操作源码解析
在本项目中,C#语言被用来实现SSO单点登录功能。 2. SSO单点登录概念: 单点登录(SSO)是一种用户登录多个相关系统时,只需要进行一次登录操作,即可访问所有系统的访问控制机制。在本项目中,C#语言被用来实现SSO单...
单点登录的三种实现方式
热门推荐
远古大猛犸
01-19 1万+
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞
c# 实现单点登录
tongbaoer的专栏
08-11 1759
由于某些原因,在我们的应用中会遇到一个用户只能在一个地方登录的情况,也就是我们通常所说的单点登录。在ASP.NET中实现单点登录其实很简单,下面就把主要的方法和全部代码进行分析。实现思路利用Cache的功能,我们把用户的登录信息保存在Cache中,并设置过期时间为Session失效的时间,因此,一旦Session失效,我们的Cache也过期;而Cache对所有的用户都可以访问,因此,用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿登林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值