单点登录和退出

已于 2024-01-02 09:53:45 修改
阅读量454 收藏 10
点赞数 6
文章标签: 网络
于 2024-01-02 09:51:04 首次发布
xiaopzi
本文链接:https://blog.csdn.net/nihao123456789222/article/details/135333764
版权

三种情况

1 多个已有系统(通过cookie,session做的登录),需要做单点登录 sso v1 v2

sso.xxx.com v1.xxx.com v2.v1.com

sso v1 v2 的token内容都是一样的,只不过是每个域名的cookie下了

$payload_test= [

'iss'=>'admin', //jwt签发者

'iat'=>time(), // jwt的签发时间

'exp'=>time()+7200, //jwt的过期时间,这个过期时间必须要大于签发时间

'nbf'=>time(), //定义在什么时间之前,该jwt都是不可用的

'sub'=>'sso.xxx.com,v1.xxx.com,v2.xxx.com', // jwt所面向的用户

'jti'=>md5(uniqid('JWT').time())//jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

'uid'=>1//用户id

];

1 用户第一次访问v1.xxx.com的页面(v1.xxx.com/user_center需要登录),系统判断未登录(通过cookie),直接跳转到登录系统sso.xxx.com,并且带着跳转url为v1.xxx.com/user_center,此时sso判断也没有登录(通过cookie判断的),则直接转到sso的登录页面。

2 在sso.xxx.com输入问用户名和密码并且确认登录成功,通过jwt生成登录token,同时把token和用户id存入redis用于模拟保持session登录。在浏览器的域名种入cookie。然后再跳转到v1,此时token也一块传过来了。

3 此时v1拿着sso传递过来的token,通过后台向sso验证是否有效,如果有效,则在v1植入自己的cookie。此时在v1登录成功

4 此时访问v2需要登录的页面,由于v2未登录,直接跳转到sso,由于sso已经登录(通过cookie里的token判断),再通过sso跳转到v2(注意此时sso是带着登录token的)

5 v2后台拿着sso传过来的token去验证是否有效,如果有效,则在v2植入cookie,此时v2也登录成功。

问题:1 v1和v2要保存的sso的token用作登录判断 2 为了方便,v1和v2的系统也可以保存一份自己的cookie信息,只是为了保存一些必要的数据

v1和v2 系统判断是否登录的依据

根据cookie里的token,通过后台post去sso系统查找是否登录(redis里查找,如果存在就是登录中)

退出

点击退出按钮,v1和v2后台通过post请求sso系统退出,此时sso系统cookie里的token删除,redis的token也删除

2 完全多个新系统做单点登录,直接用HTTP Header中的Authorization位。(解决XSS和XSRF问题) sso v1 v2

1 第一次 访问v1 需要登录的某个页面,v1请求sso接口判断是否登录(通过Header中的Authorization的token),(v1系统通过curl请求sso做验证),如果未登录则跳转到sso登录页面,记得带跳转链接callbackurl(当前访问的v1页面url)

2 在sso登录页面输入账号密码,验证通过后,jwt会生成一个token,客户端保存到本地(localStorage或sessionStorage)。服务器回在redis也保存一份,然后调回到v1之前的那个页面。则登录成功

3 接着用户去访问 v2 系统某个需要登录的页面,v2系统同样也会请求sso接口判断是否登录,如果登录,直接访问。

注意:服务器保存一份用户的登录token可以更安全的验证tokne的有效性,比如:可以判断用户是否退出,改密码立即生效,同时只能一个人登录,(token加入客户ip,登录设备信息能提示用户重新登录)等

3 app接口做token验证

sign的作用是防止参数被篡改,客户端调用服务端时需要传递sign参数,服务器响应客户端时也可以返回一个sign用于客户度校验返回的值是否被非法篡改了。客户端传的sign和服务器端响应的sign算法可能会不同。

三个参数

access-token

timestamp

sign

1 access-token 访问token

判断访问token是否正确

2 timestamp

每个请求接口都带一个timestamp参数,请求接口的有效时间,一般3分钟, 如果超过3分钟,我们就认为是非法请求。

3 sign md5(url+access-token+timestamp+imei+type+秘钥)

如果用户修改了参数,服务器算出来的sign就和传过来的sign不一致,就认为是非法请求

4 sign 放入redis,失效时间为3分钟,判断数据库里是否有sign,如果存在就是非法请求

文章接口

数据放到mongo,根据id获取内容

xiaopzi123123
关注
单点登录:统一登录与退出
天然玩家的博客
03-21 2395
1 背景 公司系统众多,如经销商管理系统(DMS)、权限管理系统(PMS)、内容管理系统(CMS)、及BI系统等,每个系统拥有独立的用户认证流程,同一用户使用不同系统时均需要在各自系统中完成登入或登出。系统与系统之间进行跳转时,是跳转到对应系统的登录页,重新登录,而不是依据已认证的用户直接进入目标系统。 2 多系统独立用户认证 系统与系统之间用户认证体系相互独立,无法进行统一授权与管理,系统与系统之间的跳转只是页面的跳转,主要弊端如下: (1)降低用户工作效率。多系统重复登录,账密不同,需要记住多个账密,
单点登录
Servlet905
07-26 1289
一、单系统登录机制 1、http无状态协议   web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系   但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限
单点登陆实现(完全跨域、单点退出
03-13
基于springmvc+maven+webservce+memecached 单点登陆实现,实现完全跨域、单点退出
单点登录和单点退出
最新发布
小汁的博客
02-24 571
单点登录和单点退出
淘淘商城第98讲——单点登录之安全退出
李阿昀的博客
06-14 9203
首先我们还是先看下接口文档,所谓的安全退出其实就是将token从Redis当中删除,由于现在跨域还没学,参数中的callback就先不用管。 看了说明文档我们便知道该怎么做了,在taotao-sso-interface工程的UserLoginService接口中添加一个方法,如下图所示。 下面我们到taotao-sso-service工程的UserLoginServiceImpl类中实现
《果然新鲜》电商项目(40)- SSO单点登录退出功能)
专业的计算机毕业设计指南
02-08 988
该项目是采用目前比较流行的`SpringBoot`/`SpringCloud`构建微服务电商项目,项目叫 **《果然新鲜》**,实现一套串联的微服务电商项目,能完全掌握该知识,可以在一线城市拿到月薪25+k薪资。 完全符合一线城市微服务电商的需求,对中国程序猿学习微服务电商架构,有非常大的帮助,该项目涵盖从微服务电商需求讨论、数据库设计、技术选型、互联网安全架构、整合`SpringCloud`各自组件、分布式基础设施、使`Docker+k8s+jenkins`实现微服务自动化部署、项目上线域名配置
单点的登录中的回显和退出
m0_47765720的博客
01-17 1452
1.单点登录 1.1.1 单点登录: 要求用户只登录一次,就可以实现免密登录(30天), 京淘项目的其他子系统也可以实现免密登录.。共享不能跨域去共享。 1.2 单点登录之前的准备 分析: 单点登录实现步骤: 1.用户输入用户名和密码点击登录 发送到JT-WEB服务器 2.JT-WEB服务器将数据发送到JT-SSO完成数据校验 3.JT-SSO 校验通过之后,保存到redis中 以TICKET-JSON 注意超时时间 4.当数据保存到redis中之后,将数据TICKET数据返回. 5.利用Cookie工具
SpringBoot+Vue+Redis实现单点登录(一处登录另一处退出登录)
08-25
在本文中,我们将探讨如何使用SpringBoot、Vue.js和Redis来实现单点登录(Single Sign-On,SSO)系统。单点登录允许用户在一个应用程序中登录后,可以在多个相互关联的应用程序中自动登录,而无需再次输入凭证。当...
SsoWsFederation:单点登录,单点退出原型
04-29
使用Windows Identity Foundation / System.IdentityModel / WsFederation和Asp.Net Mvc实现的单点登录,单点退出原型。 运行此解决方案 请创建一个自签名证书,并将其放置在计算机上的个人存储中。 请注意,...
单点登录&单点登出(Cookie+ticket)
05-16
一个用Servlet实现的SSO的demo(一个SSO服务端工程和两个SSO客户端工程),可直接运行。
单点登录与单点注销
02-05
单点登录(Single Sign On),简称为SSO。 该资源中包含的是两个Eclipse Project,导入到Eclipse/MyEclipse后,可能需要设置下JavaEE类库。SSOAuth为认证系统,SSODemo为应用系统,如果映射的域名和我设置的一样,不需要设置,直接部署即可
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
Shiro 负责身份验证和授权,而 Cas 负责单点登录和单点退出。通过 Shiro+Cas,可以实现基于角色的访问控制和细粒度的权限控制。 相关知识点 * Shiro 框架的基本概念和组件 * Cas 协议和 CAS 服务器的工作原理 * ...
011单点登录,安全退出
weixin_43917151的博客
05-30 277
1 创建war工程 1.1创建工程 1.2修改pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelV
CAS5.2x单点登录(八)---------客户端集群单点退出方式
java线程池
05-06 3678
上篇博客已经说了单点退出是怎么实现的,同时也留下了隐患,就是在集群下的客户端可能出现退出概率有效。而导致这个结果的就是因为我们客户端无法根据服务端传过来的st来找到相应的session,所以就无法清空。在最早之前,我们没有考虑到集群和分布式的时候,我们是这样来使用cas和客户端的交互 我们通过cas提供的客户端核心包来进行cas服务器和cas客户端的通信。而在一系列的校验通过后,cas会为客...
手撸SSO单点登录(六)SSO单点退出原理
kiduo08的专栏
05-09 4013
目标 这一章节我们来一起学习,单点退出登录,是怎么让所有sso系统一起退出登录的。 视频详细讲解请见https://www.bilibili.com/video/BV1b5411d7be/ 源码下载地址:https://gitcode.net/kiduo08/yuantai-sso.git 时序图 当用户点击某一个系统的退出登录时候 统一的发起跳转到认证中心http://authentication.sso.com:8080/logout?redirectUri=http://client.sso.co
淘东电商项目(36) -SSO单点登录退出功能)
阿甘兄
03-19 760
引言 本文代码已提交至Github(版本号:37d163384d6bb3042f2ace22da1a82b9819c495b),有兴趣的同学可以下载来看看:https://github.com/ylw-github/taodong-shop 阅读本文时,建议先阅读前面博客: 《淘东电商项目(31) -SSO单点登录(XXL-SSO案例)》 《淘东电商项目(32) -SSO单点登录(集成SSO...
单点登录(三)—— 单点登出原理手写实现
baolingye的博客
02-11 1563
单点登出原理 我们想实现单点登出,首先会想到在当前应用下把Session销毁即可,但是仔细一想,这样的话,是不能实现把与之共享一个token的应用的Session销毁,这条路不行。 那既然所有的应用登录都需要 ...
sso 登出_SSO 实现单点登录 、回显、退出
weixin_40003283的博客
12-20 880
实现单点登录Controller 将用户登录信息保存在cookie中/*** 完成用户登录操作*/@RequestMapping("doLogin")@ResponseBodypublic SysResult doLogin(User user, HttpServletResponse response){String ticket=dubboUserService.doLogin(user);/...
CAS单点登录配置全攻略
"本文将指导你如何配置CAS(Central Authentication Service)单点登录系统,包括自定义数据库认证、获取登录用户名、单点退出、站点间信任关系建立、默认页面修改以及超时设置。此外,还提供了CAS实用网址供参考。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaopzi123123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值