通过Cookie 实现基于Session 的SSO

最新推荐文章于 2023-10-12 13:58:43 发布
最新推荐文章于 2023-10-12 13:58:43 发布
阅读量316 收藏
点赞数 1
分类专栏: laravel php 文章标签: laravel sso cookie session userprovider实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011584949/article/details/89295361
版权
php 同时被 2 个专栏收录
61 篇文章 0 订阅
订阅专栏
laravel
43 篇文章 0 订阅
订阅专栏

缘起

  • 简称SSO,在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的其它应用系统
  • 应用场景 同一家公司的不同子系统之间的登录认证
  • 单点登录实现方式
    • 基于cookie凭证
      • 适用子系统之间主域名一致,如此这般才能让不同子系统之间共享Cookie
    • 通过CAS实现SSO系统
      • 该方案适用于所有场景

实现思路

  • 场景需求
    • 不同子系统之间是分离的,域名也不一样,比如主系统是 blog.test,子系统是 sub.blog.test
    • Laravel 添加 Cookie 到响应时默认作用域名是当前系统域名
  • 对写入 Cookie 的域名做额外设置,保证主系统和子系统之间可以共享 Cookie 凭证
  • 子系统和主系统之间共享用户表,子系统中不需要再设置独立的用户表
  • 子系统获取用户信息时通过 API 从主系统获取,需要实现 UserProvider 以便获取用户信息
  • 关键问题
    • Cookie是不能跨域传递的,将一个域的Cookie通知给其它应用(不在同一个域)

解决方案

  • 共享Cookie

    • Cookie种在父域下,浏览器同域名下的Cookie则可以共享
    • 因此可以通过Cookie加解密的算法获取用户SessionID,从而实现SSO

  • 问题

    • 所有同域名的系统都能获取SessionID,易被修改且不安全
    • 跨域无法使用

  • ticket验证

    1. 用户访问某个子系统,发现如果未登录,则引导用户跳转到SSO登录页面
    2. 判断SSO是否已经登录
    3. 如果已经登录,直接跳转到回调地址,并返回认证ticket
    4. 如果未登录,用户正确输入用户名/密码,认证通过跳转到回调地址,并返回认证ticket
    5. 子系统获取ticket,调用SSO获取用户uid等信息,成功后让用户登录

  • cookie domain

    • Http协议在响应头部,可用Set-Cookie中的domain字段用来表示这个cookie所在的域
    • 设置cookie的父域名(domain),客户端访问子域,能够把设置的cookie返回
    • 涉及登录凭证(如票据或者用户名)应该加密,cookie不能存放隐私数据
    • 通过特殊设置setDomain()可以做到跨同一个大域下的两个子域
焦点
  • 高效存储大量临时性的信任数据
  • 防止信息传递过程被篡改
  • 让SSO系统信任登录系统和免登系统
解决措施
  • 采用类似与memcached的分布式缓存的方案,既能提供可扩展数据量的机制,也能提供高效访问
  • 采取数字签名的方法,要么通过数字证书签名,要么通过像md5的方式
  • 通过白名单来处理,生产信任关系

登录中心Cookie设置

  • 单点登录需要一个独立的登录中心,所有系统登录皆从此入,通常将主系统作为登录中心
  • 设置Cookie域名
    • 设置主系统Cookie作用域名
    • 登录成功后,通过 CreateFreshApiToken中间件将令牌,SessionID写入到Cookie
    • 在子系统中可读取上述Cookie,并在请求头中带上

流程

  • Cookie 域名通过 config/session.php 中的配置项 domain 来实现

  • 添加 CreateFreshApiToken 中间件(该中间件需要事先安装过 Passport)

  • 在 routes/api.php 中新增一条路由,返回认证用户信息

  • 设置Session存储媒介

    • 基于 Session 实现的单点登录,我们还要让主系统和子系统共享用户 Session 信息
    • 在登录中心(主系统)安装 predis 扩展 composer require predis/predis

  • 在子系统自定义 UserProvider 实现

    • 子系统项目,自定义一个 UserProvider实现来从主系统获取认证用户信息
      • 通过GuzzleHttp库请求,重写 retrieveById方法
pardon110
关注
专栏目录
sessioncookie的跨域共享
03-29
该文件可以通过代码实例,让你清楚的理解sessioncookie的意思,当你明白了这点,你就可以设计出来单点登录功能,同一账号在同一时间只能登录一次功能。同时你可以通过ie、firefox去测试你对sessioncookie的理解在此之前是否正确,可以简单告诉你session不是我们大都认为的在登录时候,通过request.getSession()产生的,而是你在首次访问一个应用时候,就已经产生了,这个在我的代码里有ActiveUserListener.java这个session创建的监听器.在此共享,你值的拥有
.NET Core2.0+MVC 用sessioncookie实现sso单点登录
04-11
通过以上步骤和理解,你将能够在.NET Core 2.0+MVC的环境中实现一个基于sessioncookieSSO单点登录系统。项目的源代码(如SSO.Core.Solution压缩包)可以作为学习和参考,帮助你深入理解和实践这些概念。
SSO基于cookie的三类实现方式
cpongo11的博客
07-19 198
一、完全同域 ssoation中验证通过之后直接在顶层设置cookie 二、同父域 ...
使用cookie实现sso单点登录
weixin_42412858的博客
03-16 509
思路:有a ,b,c 三个应用, a,提供登录退出服务, bc为用户端,同一个浏览器下利用cookie 中的token 进行登录校验, b登录服务时检验token是否存在,如果存在则b服务在后端拿个token向a后端提供的获取用户信息接口,获取登录信息;如果不存在,则跳转到a服务的登录页并携带登陆成功后要返回的页面链接,当登录成功后,则回到刚刚b的页面,拿到token再次从b后端请求a后端进行用...
sso单点登录之基于cookie实现
qq_45810870的博客
07-15 297
应用技术: cookie、RestTemplate、thymeleaf 注:应该将token和user存放在redis中,因为懒所以写在了本地map中 在登录界面验证用户名和密码时 当用户名和密码验证正确跳转到首页时生成cookie //......如果用户名密码验证正确 String token = UUID.randomUUID().toString();//生成一个随机token Cookie cookie = new Cookie("TOKEN", token);//生成一个co
SessionCookie的详解及如何实现Session共享
阳光灿烂的日子的博客
09-12 1812
首先我们来说一说CookieCookie实际是Web服务端与客户端彼此传递的一部分内容,内容是任意的,但要在允许的长度范围内(一般每个域名在30-70不等)。客户端会将它保存在本地机器上(如IE会保存在本地的一个txt文件)。由于客户端程序对其进行管理,过期的Cookie会自动删除,我们可以通过以下方式来设置cookie的过期时间: 默认cookies失效时间是直到关闭浏览器,也可以指定c
PHP实现cookie跨域session共享的方法分析
10-16
Session则是服务器端存储的数据,通常存储在服务器的内存中,通过唯一标识符(Session ID)与客户端的Cookie关联,实现客户端与服务器的数据交互。 ### Cookie设置及问题 在PHP中,`setcookie()` 函数用于设置...
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
总结来说,Spring Boot中的登录验证可以通过CookieSession实现,并利用拦截器进行拦截处理,确保只有已登录用户才能访问受保护的资源。同时,理解拦截器、过滤器和SSO的概念对于构建安全、高效的Web应用至关重要。
PHP中SSO Cookie登录分析和实现
12-18
在PHP中实现SSO,通常涉及Cookie和重定向技术。由于Cookie的域限制,不同域名下的系统无法直接共享Cookie,这就需要用到Ticket验证机制。以下是使用Ticket实现SSO的基本步骤: 1. 用户访问子系统,如果未登录,会被...
c#实现cookiesession的登陆实例
07-23
在Web开发中,CookieSession是两种常见的用户身份验证...通过以上讲解,你应该对C#中如何使用CookieSession进行登录实现了深入的理解。实际项目中,应根据需求选择适合的用户认证方法,并确保遵循最佳安全实践。
SSO单点登录的PHP实现方法(Laravel框架)
12-19
Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 简单说一下我的逻辑,我也不知道我理解sso对不对。 假如三个站点 a.baidu.com b.baidu.com c.baidu.com a.baidu.com 作为验证用户登录账户。 b和c作为客户端(子系统)。 b和c需要登录的时候跳转到a,并且携带参数source指明登陆后跳转的链接。 a站点就是普通的登陆方式(校验用户密码),校验成功后做一些处理。需要生成一个ticket
cookiesession的联系和区别,多台web服务器如何共享session
weixin_30689307的博客
07-14 154
cookie在客户端保存状态,session在服务器端保存状态。但是由于在服务器端保存状态的时候,在客户端也需要一个标识,所以session也可能要借助cookie实现保存标识位的作用。cookie包括名字,值,域,路径,过期时间。路径和域构成cookie的作用范围。cookie如果不设置过期时间,则这个cookie在浏览器进程 存在时有效,关闭时销毁。如果设置了过期时间,则cookie存储在本...
通过共享cookie实现SSO单点登录
AS_JOPO的专栏
10-13 544
前言: 浏览器cookie能够在二级域名之间共享,这是前提。 流程: 1.浏览器访问页面 2.应用服务器判断是否带有cookie :token。 3.如果有token,代表登录过,直接返回页面。 4.如果没有token,代表没有登录,重定向到sso服务器(带着回跳地址) 5.在sso服务器完成登录动作后,重定向到回跳地址,并设置cookie:token。这里的关键点就是将cookie的domain属性设置为以【点号开头的一级域名】,这样应用地址就可以和sso地址共享这个cookie。 如下图
tomcat基于cookiesession共享
weixin_30610755的博客
08-04 120
首先,安装nginx + nginx_upstream_jvm_route shell $> svn checkout http://nginx-upstream-jvm-route.googlecode.com/svn/trunk/ 下载jvm-route补丁 然后,安装nginx时,需要加载jvm-route模块 shell $> ./configure -...
SSO单点登录Cookie实现
qq_41426326的博客
06-28 8780
这个demo是从哔哩哔哩上面看的教程,但只将了登录,却没有将退出,内容也很简单,适合初学者了解SSO单点登录的意思和工作原理。 那么什么是SSO单点登录呢,下面几个图大家了解一下。 小编在csdn的主页面www域中登录后,在其他huiyi,download,blog等域名都显示登录了,这就是单点登录。 下面我们来实现一下。 一,配置hosts需要登录的域名 windows...
SSO单点登录-基于cookie的单点登录
qq_33479841的博客
03-19 2711
1.概述 单点登录(Single-Sign-On),简称SSO,它的解释为:在多个应用系统中,只要登陆一次,便可以访问其它相互信任的系统。早期系统由于只有一个服务,因此只需要登录一次,就可以访问系统的其它资源。伴随着业务的发展和用户数量的增加,单系统局限性越来越突出(无法支撑大规模用户、用户数量过多系统卡顿等)。为了增强系统的并发能力和解耦合,进行了系统业务的拆分,系统业务拆分后,为了保护系统之间数据安全性,用户需要登录认证才能进行资源访问。若资源分散在不同的服务上,每访问一次都需要重新登录,这会极大地降低
sso实现Cookie共享
weixin_33735077的博客
11-08 148
1、Domain:必须是相同的。例如有多个域名:www.test.comsso.test.comsearch.test.com需要设置domain为:.test.com2、设置path:/3、如果是localhost不要设置domain。直接设置path就可以了。 转载于:https://blog.51cto.com/8757576/2314662...
基于Redis+Cookie实现Session共享
最新发布
fengbin2005的专栏
10-12 275
在进行参数判断中可自定义一个注解,当某个参数被使用该注解后,则调用自定义的参数管理器。:对于同一个客户端(例如 Chrome 浏览器),只要登录了一个子站(例如。比如用户在登录淘宝后,跳转到天猫时就已经登录了。在其他接口中获取到登录用户,自定义一个参数解析器。分布式项目中要实现单点登录。,直到找到登录时设置的。将自定义解析器配置到。
cookie跨域session共享
x
05-28 3105
做过web开发的小伙伴们都了解cookiesessioncookie是存储在客户端的,session是存储在服务器的。本篇主要通过一些实践中的案例和大家分享一下踩到坑,重点说明了cookie跨域问题和session服务器共享问题,以php语言为使用语言进行说明。先聊聊cookie设置cookie无效setcookie("sso", "e589hR6VnO8K1CNQZ4PSP/LWGBhRKE5
Kisso:基于CookieSSO中间件详解
kisso是一个基于CookieSSO(Single Sign-On)中间件,设计用于简化Java Web登录系统的开发。它的核心功能包括支持单点登录、登录Cookie缓存、多种安全防护机制(如防止XSS、SQL和脚本注入)、以及灵活的Cookie参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值