[前端]单点登录 SSO

已于 2024-06-21 14:42:44 修改
阅读量1.1k 收藏 22
点赞数 24
文章标签: 前端
于 2024-06-21 14:36:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29425101/article/details/139860008
版权

1. 什么是单点登录?

单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

2. 单点登录的模式

2.1 模式一: session + cookie 模式

在这里插入图片描述

  1. 用户登录
  2. 认证中心获取用户数据,在 session 表中建立 sessionId 与用户信息的键值对
  3. 将 sessionId 以 cookie 的形式返回返回用户,并保存在客户端
  4. 当用户访问系统 A 时,将 cookie 中的 sessionId 附带在请求头中进行数据请求
  5. 系统 A 获取到用于户的 sessionId,需要去认证中心验证 sessionId,看用户是否登录或者登录是否过期
  6. 认证中心验证 sessionId 是有效的,返回验证结果,也可以附带用户身份信息到系统 A
  7. 系统 A 接收到认证中心的有效验证,将用户访问的受保护的资源响应给客户端
  8. 对其他系统的访问也是一样
优势:

认证中心对用户有着非常强的控制力:如果某个用户违规了不让其继续使用系统了,可以在认证中心维护的 session 记录中清除该用户的 sessionId,当用户请求系统时 sessionId 验证不通过,就会要求重新登录,如果配合黑名单使用控制会更灵活。

劣势:

认证中心压力大
系统登录和所有的请求验证都需要认证中心验证

花费大,代价高

  • 储存用户 session 信息,如果系统用户非常大,需要做 session 集群。
  • 认证中心管控登录及所有的请求验证,如果挂了,整个系统都不能用了,需要做容灾。
  • 如果某个系统需要扩容,认证中心也跟着需要扩容。

2.2 模式二:token 模式

在这里插入图片描述

  1. 用户登录
  2. 登录成功,认证中心生成一个不能被篡改的字符串 token,返回给用户并保存在客户端。
  3. 用户访问系统 A,会在请求头(或者 url 中)中附带 token 信息,系统 A 可以自行进行验证 token
  4. 系统 A 验证通过,返回系统受保护的资源给客户端
  5. 对其他系统的访问也是一样
优势:
  • 认证中心的压力减少了,只需要进行注册登录,不需要进行请求验证了,子系统可以自行验证,减少了认证中心的压力。
  • 花费减少了,认证中心不需要维护 sessionId 记录了。请求不需要对认证中心的验证,对认证心中的要求也不那么高了。子系统扩容也不会影响认证中心了。
劣势:

认证中心失去了对用户的控制,用户登录之后不需要经过认证中心就可以访问系统资源了。

2.3 模式二的升级:token + refreshtoken(双 Token)模式

在这里插入图片描述
在这里插入图片描述

  1. 用户登录
  2. 登录成功,认证中心会生成一个 token(有效期比较短)和一个 refreshToken(有效期比较长),返回给用户并保存在客户端。
  3. 用户访问系统 A,会在请求头中附带 token 信息,系统 A 可以自行进行验证 token
  4. 系统 A 验证通过,返回系统受保护的资源给客户端
  5. 当 token 过期了再请求系统 A 时,系统 A 验证不通过。用户可以使用 refreshToken 到认证中心换取新的 token,并更新保存在客户端。后续的请求使用新的 token 又可以正常访问系统了。
  6. 当 refreshtoken 过期了,可以重新登录或者做其他逻辑处理。

双 Token 模式提高了认证中心对用户的控制能力,因为每隔一段时间 token 失效后,用户需要到认证中心获取新 token。该模式弥补了 token 模式的缺点,又保持了 token 模式的优势。

3. 客户端对 cookie 或者 token 的保存

登录认证后认证中心返回的 cookie(或者 token),需要在客户端保存。

  • 如果系统 A、系统 B 和认证中心是在相同的主域名下,可以通过设置 set-cookie 中的 domain 为主域名,path 设置为根路径,实现后续对系统 A、B 的请求中请求头会自动携带 cookie 。因为设置域名将会使 cookie 对指定的域名及其所有子域名可用。
  • 如果系统 A、系统 B 不相同的主域名下,因为浏览器的同源策略,在不同源的请求中浏览器会限制 cookie 的发送,此时可以将 cookie 信息保存在 localStorage 中,以解决跨域请求 cookie 发送。

set-cookie:是响应标头,内容信息由服务器设置,响应返回,客户端保存。在客户端后续的请求中,根据登录响应头 set-cookie 的内容限制,决定后续请求头中是否要附带 cookie。set-cookie 中包含 cookie 内容,也包含 cookie 的其他信息,比如 Max-age(有效期)、domain(请求时 cookie 可以发送的域)、SameSite(跨站时携带 cookie 的约束)等。

4. JWT (JSON Web Token)

JWT 是一种特殊的 Token,由三个部分组成(header、payload、signature),中间用符号.连接

header 部分:由一个 JSON 对象,进行 base64 编码得到。
在这里插入图片描述

let header = {
  alg: "HS256", //签名使用的加密算法,HS256
  typ: "JWT", //一般是固定的
};
header = btoa(JSON.stringify(header)); //进行base64编码

payload 部分:主体内容部分,也是一个 JSON 对象,也要进行 base64 编码。
在这里插入图片描述

let payload = {
  name: "admin",
  age: 18,
};
payload = btoa(JSON.stringify(payload));

signature 部分:由前面 base64 编码得到的两个部分用.拼接,进行加密(需要一个秘钥),再进行 base64 编码得到。
在这里插入图片描述

token 是由服务器生成,返回给客户端并保存,在后续的请求中携带 token 进行请求。系统进行 token 验证时,解析出 token 中的 header 和 payload,用相同的秘钥进行加密处理后,再和 token 中的 signature 部分对比,如果相同则通过验证,不同则表示 token 被篡改了或者客户端没有进行登录伪造的。在单点登录模式二中,认证中心生成秘钥进行加密,可以将秘钥同步给系统 A、系统 B,这样系统 A、B 就可以自行验证 token 的有效性了。

5. 双 token 无感刷新

双 token 模式下 token 有效时间较短,refreshToken 的有效时间较长,当 token 失效后用 refreshToken 请求获取新的 token。当 refreshToken 也过期失效后,需要重新登录。

import axios from "axios";
//set将token和refreshtoken保存到localstorage
//get为从localstorage中取出token和refrestoken
import { getToken, setToken, getFreshToken, setFreshToken } from "./token.js";

const ins = axios.create({
  baseUrl: "http://localhost:3000",
  headers: {
    Authorization: `Bearer ${getToken()}`,
  },
});

//刷新token的请求
let promise;
function refreshToken() {
  if (promise) {
    return promise;
  }
  promise = new Promise(async (resolve) => {
    const resp = await ins.get("/refresh_token", {
      headers: {
        Authorization: `Bearer ${getFreshToken()}`,
      },
      __isRefreshToken: true,
    });
    if (resp.data.code === 200) {
      //刷新token成功
      resolve(true);
    } else {
      //刷新token失败,refreshToken也过期失效了
      resolve(false);
    }
  });
  promise.finally(() => {
    promise = null;
  });
  return promise;
}

//判断是否是刷新token的请求
function isRefreshRequest(config) {
  return !!config.__isRefreshToken;
}

ins.interceptors.response.use(async (res) => {
  if (res.headers.Authorization) {
    const token = res.headers.Authorization.replace("Bearer ", "");
    setToken(token);
    ins.defaults.headers.Authorization = `Bearer ${token}`;
  }
  if (res.headers.refreshtoken) {
    const freshtoken = res.headers.refreshtoken.replace("Bearer ", "");
    setFreshToken(freshtoken);
  }
  //无权限,且不是刷新token请求,是普通数据请求
  if (res.data.code === 401 && !isRefreshRequest(res.config)) {
    //刷新token
    const isSuccess = await refreshToken();
    if (isSuccess) {
      //刷新成功,重新请求
      res.config.headers.Authorization = `Bearer ${getToken()}`;
      const resp = await ins.request(res.config);
      return resp;
    } else {
      //刷新token失败,refreshToken过期了
      console.log("需要重新登录");
    }
  }
  return res.data;
});


export default ins;
小禄不迷路
关注
聊聊前端单点登录
m0_54007573的博客
08-18 448
聊聊前端单点登录
面试官:来说说单点登录的三种实现方式
weixin_49114080的博客
10-10 4779
前言 在 B/S 系统中,登录功能通常都是基于 Cookie 来实现的。当用户登录成功后,一般会将登录状态记录到 Session 中,或者是给用户签发一个 Token,无论哪一种方式,都需要在客户端保存一些信息(Session ID 或 Token ),并要求客户端在之后的每次请求中携带它们。在这样的场景下,使用 Cookie 无疑是最方便的,因此我们一般都会将 Session 的 ID 或 Token 保存到 Cookie 中,当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单
前端关于单点登录的知识
顺其自然~专栏
03-05 590
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统(其实是信任认证中心。SSO一般都需要一个独立的认证中心(passport),子系统的登录均得通过passport,子系统本身将不参与登录操作,当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源。
前端实现单点登录SSO
Web面试那些事儿的博客
10-11 2935
1、一个系统登录流程:用户进入系统——未登录——跳转登录界面——用户名和密码发送——服务器端验证后,设置一个cookie发送到浏览器,设置一个session存放在服务器——用户再次请求(带上cookie)——服务器验证cookie和session匹配后,就可以进行业务了。2、多个系统登录:如果一个大公司有很多系统,a.seafile.com, b.seafile.com,c.seafile.com。这些系统都需要登录,如果用户在不同系统间登录需要多次输入密码,用户体验很不好。
前端单点登录
weixin_44283145的博客
04-06 623
参考链接: https://blog.csdn.net/ban_tang/article/details/80015946 https://www.jianshu.com/p/75edcc05acfd 一、什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 SSO一般都需要一个独立的认证中心(passport),子系统的登录均得通过passport。子系统
单点登录SSO)看这一篇就够了
weixin_33725807的博客
09-06 3778
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 ...
单点登录SSO前端怎么做
最新发布
qq_42036203的博客
06-06 1838
本文介绍单点登录SSO)是什么,还有就是前端怎么做。
前端如何实现单点登录
weixin_50841302的博客
12-10 3495
单点登录
前端-单点登录
Z_znmy的博客
07-02 269
项目使用vue作为技术栈,我方平台对接到甲方平台中需要用到单点登录。 甲方平台跳转至我方平台时url为我方平台登录地址+st参数信息,登录验证如果没有登录会跳转至登录页,所以在登录页的 mounted 钩子函数中截取url中的st,若st存在,调用单点登录验证接口,获取登录验证sessionId,根据需求做对应页面的跳转。 考虑用户体验可以加一个空页面来做过渡防止用户跳转过来时看到登录页。 ...
使用springboot结合vue实现sso单点登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 单点登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 单点登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
sso.rar_DotNetCasClient.dll_sso_sso 单点登录_单点登录_鍗曠偣鐧诲綍
09-20
单点登录(Single Sign-On,简称SSO)是一种网络身份验证技术,允许用户在一次登录后,无需再次输入凭证即可访问多个相互关联的应用系统。在IT领域,它极大地提升了用户体验和安全性,尤其对于大型企业或组织,管理...
sso demo 单点登录
12-22
通过以上讲解,我们可以看出"SSO demo 单点登录"涉及到的技术范围广泛,从前端的用户交互,到后端的身份验证和服务集成,再到安全性和用户体验,都是开发者需要考虑的重要方面。这个SSH框架下的示例为学习和理解SSO...
SSO(单点登录)
01-12
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证。这个技术在现代企业应用中非常常见,提高了用户体验并简化了安全管理。 首先,SSO的...
前端050_单点登录SSO_登录功能实现
细致-专业-实操
06-06 346
创建调用认证API接口文件 src/api/auth.js登录时,要在请求头带上客户端ID和客户端密码,并且在请求头指定数据格式// 数据格式 const headers = {// 请求头添加 Authorization: Basic client_id:client_secret const auth = {// 登录,获取 token 接口 export function login(data) {
单点登录前端实现方式
皓天的博客
10-17 3809
一、单点登录(Single Sign On, SSO)是指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的应用系统。举例来说,百度贴吧和百度地图是百度公司旗下的两个不同的应用系统,如果用户在百度贴吧登录过之后,当他访问百度地图时无需再次登录,那么就说明百度贴吧和百度地图之间实现了单点登录。 二、单点登录的本质就是在多个应用系统中共享登录状态。 三、实现方式有很多种:父域 Cookie、认证中心、LocalStorage 跨域等。 四、这里主要记录一下前端实现方式:LocalStor
前端单点登录了解及实现
一缕青丝飞向远方的博客
07-26 4342
前端单点登录
前端实现单点登录
一个小小白的博客
04-15 3301
问题概述 公司目前有几个使用Vue.js+Java开发的PC端项目,每个项目都有不同的服务器和独立的数据库和各自的登录界面,老板要我们给这几个项目做一个统一的登录入口,登录后点击某个项目链接能新开窗口跳转到该项目。其实就是实现单点登录,但是后端人员说几个项目都是各自独立的,无法做到常规的单点登录,只能重新写一个服务给一个登录接口返回所有项目的token,剩下的就需要我们前端处理了。 思路总结 查询资料后发现可以通过iframe+postMessage实现跨域的token传递(注意,token在不同主域名的情
前端sso单点登录
qianduan1020的博客
12-07 776
sso.vue 文件 <template> <div></div> </template> <script> import util from '../../utils/util.js'; export default { computed: { code () { return this.$route.query.code; }, }, methods: { setRole (roles) { const isLe
sso单点登录前端怎么做
09-18
SSO(Single Sign-On) 单点登录前端的实现主要有以下几个步骤: 1. 配置登录页:在前端应用中设置一个登录页,用于用户输入登录凭证,例如用户名和密码。 2. 发送登录请求:用户在登录页输入凭证后,前端应用将凭证发送给服务器端进行验证。可以使用Ajax或者form表单提交来发送请求。 3. 验证登录凭证:前端应用将用户输入的凭证发送给服务器端,后端应用进行验证,通常通过对用户名和密码进行校验或者与后台数据库交互验证凭证的有效性。 4. 登录成功处理:如果凭证有效,服务器端会返回给前端应用一个Token,表示用户已经登录成功。前端应用可以将该Token保存在本地,通常使用浏览器的Cookie或者localStorage保存,以便后续的跨域登录验证。 5. 跨域登录验证:当用户访问其他需要登录权限的子系统时,前端应用需判断用户是否已经登录。可以通过读取本地保存的Token,或者发送请求到服务器端验证Token的有效性。 6. 登录状态维持:前端应用可以使用浏览器的Cookie或者localStorage保存Token,并设置过期时间。当Token过期时,前端应用需要重新发送登录请求验证用户的登录状态。 以上是SSO单点登录前端的基本实现步骤,实际应用中还需考虑安全性和用户体验等因素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值