SSO

最新推荐文章于 2024-09-05 19:34:12 发布
最新推荐文章于 2024-09-05 19:34:12 发布
阅读量250 收藏
点赞数
分类专栏: 基于.Net的单点登录(SSO)解决方案 文章标签: ui 数据结构与算法 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_17519/article/details/82399063
版权

基于.Net的单点登录(SSO)解决方案

      前些天一位朋友要我帮忙做一单点登录,其实这个概念早已耳熟能详,但实际应用很少,难得最近轻闲,于是决定通过本文来详细描述一个SSO解决方案,希望对 大家有所帮助。SSO的解决方案很多,但搜索结果令人大失所望,大部分是相互转载,并且描述的也是走马观花。
      闲话少叙,进入正题,我的想法是使用集中验证方式,多个站点集中Passport验证。 如下图所示:

      为方便清晰描述,先定义几个名词,本文中出现之处均为如下含义。

      主站 :Passport集中验证服务器 http://www.passport.com/
      分站http://www.a.com/ http://www.b.com/ http://www.c.com/  
      凭证 :用户登录后产生的数据标识,用于识别授权用户,可为多种方式,DEMO中主站我使用的是Cache,分站使用Session。
      令牌 :由Passport颁发可在各分站中流通的唯一标识。
      OK,现在描述一下单点登录的过程:
      情形一、匿名用户:匿名用户访问分站a上的一个授权页面,首先跳转到主站让用户输入帐号、密码进行登录,验证通过后产生主站凭证,同时产生令牌,跳转回分 站a,此时分站a检测到用户已持有令牌,于是用令牌再次去主站获取用户凭证,获取成功后允许用户访问该授权页面。同时产生分站a的本地凭证,当该用户需要 再次验证时将先检查本地凭证,以减少网络交互。
      情形二、在分站a登录的用户访问分站b:因为用户在分站a登录过,已持有令牌,所以分站b会用令牌去主站获取用户凭证,获取成功后允许用户访问授权页面。同时产生分站b的本地凭证。

      设计完成后,接下来是方案实现的一些关键点:
      令牌 :令牌 由主站颁发,主站颁发令牌同时生成用户凭证,并记录令牌与用户凭证之间的对应关系,以根据用户提供的令牌响应对应的凭证;令牌要在各跨域分站中进行流通, 所以DEMO中令牌我使用主站的Cookie,并指定Cookie.Domain="passport.com"。各分站如何共享主站的Cookie?从 分站Redirect到主站页面,然后该页面读取Cookie并以URL参数方式回传即可,可在DEMO代码中查看详细实现,当然如果哪位有更好的令牌实 现方式也拿出来分享。

// 产生令牌
string  tokenValue  =  Guid.NewGuid().ToString().ToUpper();
HttpCookie tokenCookie  =   new  HttpCookie( " Token " );
tokenCookie.Values.Add( " Value " , tokenValue);
tokenCookie.Domain  =   " passport.com " ;
Response.AppendCookie(tokenCookie); 


      主站凭证 :主站凭证是一个关系表,包含了三个字段:令牌、凭证数据、过期时间。有多种实现方式可供选择,要求可靠的话用数据库,要求性能的话用Cache,DEMO中我使用的是Cache中的DataTable。如下代码所示:

复制代码
///   <summary>
///  初始化数据结构
 ///   </summary>
///   <remarks>
///  ----------------------------------------------------
 ///  | token(令牌) | info(用户凭证) | timeout(过期时间) |
 ///  |--------------------------------------------------|
 ///   </remarks>
private   static   void  cacheInit()
{
     if  (HttpContext.Current.Cache[ " CERT " ==   null )
    {
        DataTable dt  =   new  DataTable();

        dt.Columns.Add( " token " , Type.GetType( " System.String " ));
        dt.Columns[ " token " ].Unique  =   true ;

        dt.Columns.Add( " info " , Type.GetType( " System.Object " ));
        dt.Columns[ " info " ].DefaultValue  =   null ;

        dt.Columns.Add( " timeout " , Type.GetType( " System.DateTime " ));
        dt.Columns[ " timeout " ].DefaultValue  =  DateTime.Now.AddMinutes( double .Parse(System.Configuration.ConfigurationManager.AppSettings[ " timeout " ]));

        DataColumn[] keys  =   new  DataColumn[ 1 ];
        keys[ 0 =  dt.Columns[ " token " ];
        dt.PrimaryKey  =  keys;

         // Cache的过期时间为 令牌过期时间*2
        HttpContext.Current.Cache.Insert( " CERT " , dt,  null , DateTime.MaxValue, TimeSpan.FromMinutes( double .Parse(System.Configuration.ConfigurationManager.AppSettings[ " timeout " ])  *   2 ));
    }
}
复制代码

 

      分站凭证 :分站凭证主要用于减少重复验证时网络的交互,比如用户已在分站a上登录过,当他再次访问分站a时,就不必使用令牌去主站验证了,因为分站a已有该用户的凭证。分站凭证相对比较简单,使用Session、Cookie均可。

      分站SSO页面基类 :分站使用SSO的页面会做一系列的逻辑判断处理,如文章开头的流程图。如果有多个页面的话不可能为每个页写一个这样的逻辑,OK,那么把这套逻辑封装成一个基类,凡是要使用SSO的页面继承该基类即可。如下代码所示:

复制代码
using  System;
 using  System.Data;
 using  System.Configuration;
 using  System.Web;
 using  System.Web.Security;
 using  System.Web.UI;
 using  System.Web.UI.WebControls;
 using  System.Web.UI.WebControls.WebParts;
 using  System.Web.UI.HtmlControls;
 using  System.Text.RegularExpressions;

 namespace  SSO.SiteA.Class
{
     ///   <summary>
     ///  授权页面基类
     ///   </summary>
     public   class  AuthBase : System.Web.UI.Page
    {
         protected   override   void  OnLoad(EventArgs e)
        {
             if  (Session[ " Token " !=   null )
            {
                 // 分站凭证存在
                Response.Write( " 恭喜,分站凭证存在,您被授权访问该页面! " );
            }
             else
            {
                 // 令牌验证结果
                 if  (Request.QueryString[ " Token " !=   null )
                {
                     if  (Request.QueryString[ " Token " !=   " $Token$ " )
                    {
                         // 持有令牌
                         string  tokenValue  =  Request.QueryString[ " Token " ];
                         // 调用WebService获取主站凭证
                        SSO.SiteA.RefPassport.TokenService tokenService  =   new  SSO.SiteA.RefPassport.TokenService();
                         object  o  =  tokenService.TokenGetCredence(tokenValue);
                         if  (o  !=   null )
                        {
                             // 令牌正确
                            Session[ " Token " =  o;
                            Response.Write( " 恭喜,令牌存在,您被授权访问该页面! " );
                        }
                         else
                        {
                             // 令牌错误
                            Response.Redirect( this .replaceToken());
                        }
                    }
                     else
                    {
                         // 未持有令牌
                        Response.Redirect( this .replaceToken());
                    }
                }
                 // 未进行令牌验证,去主站验证
                 else
                {
                    Response.Redirect( this .getTokenURL());
                }
            }

             base .OnLoad(e);
        }

         ///   <summary>
         ///  获取带令牌请求的URL
         ///  在当前URL中附加上令牌请求参数
         ///   </summary>
         ///   <returns></returns>
         private   string  getTokenURL()
        {
             string  url  =  Request.Url.AbsoluteUri;
            Regex reg  =   new  Regex( @" ^.*\?.+=.+$ " );
             if  (reg.IsMatch(url))
                url  +=   " &Token=$Token$ " ;
             else
                url  +=   " ?Token=$Token$ " ;

             return   " http://www.passport.com/gettoken.aspx?BackURL= "   +  Server.UrlEncode(url);
        }

         ///   <summary>
         ///  去掉URL中的令牌
         ///  在当前URL中去掉令牌参数
         ///   </summary>
         ///   <returns></returns>
         private   string  replaceToken()
        {
             string  url  =  Request.Url.AbsoluteUri;
            url  =  Regex.Replace(url,  @" (\?|&)Token=.* " "" , RegexOptions.IgnoreCase);
             return   " http://www.passport.com/userlogin.aspx?BackURL= "   +  Server.UrlEncode(url);
        }

    } // end class
}
复制代码

 

      用户退出: 用户退出时分别清空主站凭证与当前分站凭证。如果要求A站点退出,B、C站点也退出,可自行扩展接口清空每个分站凭证。
      主站过期凭证/令牌清除 :定时清除(DataTable)Cache[“CERT”]中timeout字段超过当前时间的记录。

点击此处下载DEMO

1.IIS 中配置站点

配置 4个站点指向相应的目录,并分别指定 4个站点的主机头:

http://www.passport.com/

http://www.a.com/

http://www.b.com/

http://www.c.com/  

2. 修改 hosts 文件以将域名解析到本地站点

127.0.0.1          http://www.passport.com/

127.0.0.1          http://www.a.com/

127.0.0.1          http://www.b.com/

127.0.0.1          http://www.c.com/

iteye_17519
关注
专栏目录
基于.Net的单点登录(SSO)解决方案
02-15
感谢吴剑提供的基于.Net的单点登录(SSO)解决方案。此源码包含其提供解决方案中只给出dll文件没给出代码的部分。
java 基于 Cookie 的 SSO 中间件 kisso 低代码
08-25
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证。在Java环境中,实现SSO的一个常见方式是通过Cookie。Kisso是一个基于Cookie的轻量级...
SSO 单点登录和 OAuth2.0 有何区别?
最新发布
weixin_46242847的博客
09-05 477
SSO 单点登录和 OAuth2.0 有何区别?
asp.net单点登录(SSO)解决方案
weixin_30437337的博客
01-25 88
前些天一位朋友要我帮忙做一单点登录,其实这个概念早已耳熟能详,但实际应用很少,难得最近轻闲,于是决定通过本文来详细描述一个SSO解决方案,希望对大家有所帮助。SSO的解决方案很多,但搜索结果令人大失所望,大部分是相互转载,并且描述的也是走马观花。 闲话少叙,进入正题,我的想法是使用集中验证方式,多个站点集中Passport验证。如下图所示: 为方便清晰描述,先定义几个...
.net实现单点登录
fengchao1000的专栏
09-26 1749
一、概念          单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 二、实现机制         当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统(passport)中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如
统一身份认证系统+sso单点登录服务端及sso客户端源代码
09-08
java+springboot+oauth2 写的统一身份认证系统+sso服务端及客户端程序,包括数据库及操作步骤及如何进行部署操作等,确保大家对统一身份认证有个深刻的认识,数据库已提供,需要大家自己导入到自己的系统中。...
单点登录(SSO)-同域名、不同域名
04-19
### 单点登录(SSO)技术解析:同域名与不同域名下的实现 #### 背景介绍 在企业的早期发展阶段,所使用的内部系统数量有限,通常为一两个,每个系统都配备有自己的登录模块。这样的架构对于运营人员来说非常便捷,...
sso.rar_DotNetCasClient.dll_sso_sso 单点登录_单点登录_鍗曠偣鐧诲綍
09-20
单点登录(Single Sign-On,简称SSO)是一种网络身份验证技术,允许用户在一次登录后,无需再次输入凭证即可访问多个相互关联的应用系统。在IT领域,它极大地提升了用户体验和安全性,尤其对于大型企业或组织,管理...
xxl-sso:分布式单点登录框架。(分布式单点登录框架XXL-SSO
02-03
XXL-SSO,一种分布式单点登录框架。 介绍 XXL-SSO是一个分布式单点登录框架。 您只需登录一次即可访问所有受信任的应用程序系统。 它具有“轻量级,可伸缩,分布式,跨域,Web + APP支持访问”功能。 现在,它已经...
asp.net 单用户登录经典解决方案
weixin_34326429的博客
10-09 301
这里指的单点,泛指在WEB服务端,一个账户同一时刻只能存在一个票据! 大家开发中可能都碰到的一个问题,怎么使同一个用户,在同一时间内只允许登录一次。 很多人都会想到在数据库中用一个标识字段,登录进去置1,退出置0,登录时判断这个字段,如果是1就说明此用户在线,不允许登录,这个方案看似有效,但在实际使用中发现问题很多,比如,用户不是通过程序中的退出按纽退出,而是直接关闭IE,这样的话,下次登录时...
sso
qq_37538698的博客
09-05 802
单点登录的英文简称为SSO(single sign on),单点登录功能使得用户只要登录了其中一个系统,就可以访问其他相关系统,而不用进行身份验证登录。即用户只要登陆系统一次,该用户的身份信息就可以被系统中的多个主机上的应用所识别,不需要在访问每个应用时再分别进行登陆。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值