文章介绍了三种实现单点登录(SingleSign-On,SSO)的方法:1)使用父域Cookie共享SessionID或Token;2)通过独立的认证中心进行身份验证并管理Token;3)利用LocalStorage进行跨域数据传递以实现SSO。每种方法都涉及到用户登录状态的管理和Token的验证,确保用户在多个子域间无缝登录。
1.父域cookie
将 Session ID(或 Token)保存到父域中。也就是将 Cookie 的 domain 属性设置为主域名,同时将 path 属性设置为根路径,这样所有的子域应用就都可以访问到这个 Cookie 了。要求应用系统的域名需建立在一个共同的主域名之下
2.认证中心
认证中心就是一个专门负责处理登录请求的独立的 Web 服务。用户统一在认证中心进行登录,登录成功后,认证中心记录用户的登录状态,并将 Token 写入 Cookie。
应用系统检查当前请求有没有 Token,如果没有,说明用户在当前系统中尚未登录,那么就将页面跳转至认证中心。由于这个操作会将认证中心的 Cookie 自动带过去,因此,认证中心能够根据 Cookie 知道用户是否已经登录过了。如果认证中心发现用户尚未登录,则返回登录页面,等待用户登录,如果发现用户已经登录过了,就不会让用户再次登录了,而是会跳转回目标 URL ,并在跳转前生成一个 Token,拼接在目标 URL 的后面,回传给目标应用系统。
应用系统拿到 Token 之后,还需要向认证中心确认下 Token 的合法性,防止用户伪造。确认无误后,应用系统记录用户的登录状态,并将 Token 写入 Cookie,然后给本次访问放行。当用户再次访问当前应用系统时,就会自动带上这个 Token,应用系统验证 Token 发现用户已登录,于是就不会有认证中心什么事了。
3. LocalStorage跨域
将 Session ID (或 Token )保存到浏览器的 LocalStorage 中,让前端在每次向后端发送请求时,主动将 LocalStorage 的数据传递给服务端。这些都是由前端来控制的,后端需要做的仅仅是在用户登录成功后,将 Session ID (或 Token )放在响应体中传递给前端。
在这样的场景下,单点登录完全可以在前端实现。前端拿到 Session ID (或 Token )后,除了将它写入自己的 LocalStorage 中之外,还可以通过特殊手段将它写入多个其他域下的 LocalStorage 中。
扫一扫
1580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
