基于NODEJS的SSO登录方案

最新推荐文章于 2024-07-03 09:23:34 发布
最新推荐文章于 2024-07-03 09:23:34 发布
阅读量918 收藏 1
点赞数
文章标签: java 数据库 javascript ViewUI
原文链接:https://segmentfault.com/a/1190000006103655
版权

一、前言

注册、登录是服务端常做的功能,主要涉及用户信息表单提交、会员信息保存、登录状态维护,前端除了表单提交外也没有什么可参与的,能发挥的作用很少。

如果通过nodejs介入开发,则可参与更多,这也是为什么建议大家学习下nodejs,通过服务端语言来增强自己的技术栈,技术研发是一个综合类的能力,相比较Java,单纯依靠前端是难以支撑技术的体量,这也是前端人员发展后期所面临的尴尬,若以前端为主体,知晓服务端、数据库、运维、测试等技术栈,则能支撑更宽更深的技术体量。

前段时间为公司项目提供了sso解决方案,这里分享下。

二、误区

登录重点在于会员状态的维护、保持,初级者有两个误区

  • 使用数据库保持登录状态

即收到用户登录信息后,将状态维护在数据库,这样是可行的,但效率是非常低,因为后续每次涉及到用户权限的页面、数据获取都需要先验证状态,通过数据库操作耗时

  • 单纯使用session

这算不上一个误区,也是教程常用的方式,不过session通常是保存在当前服务的缓存里的,单台服务可行,但多台服务器集群时,session无法共享

基于上面两种情况,我们需要一个可被多台服务器快速访问的独立服务 -- redis。memcache也可达到,不过相比之下,redis功能、稳定性都更好。

登录实现

前后端分离时我采用了下图的架构,可参考 全栈技术栈

全栈架构图

前后端分离架构中登录流程

分离架构中流程如下

前后端分享时的登录流程

用户在client输入username + password,提交到Node服务,Node对数据做规则有效性验证,错误则返回,通过则发给java到DB做信息验证,会员信息有效,由java端生成sessionId,通过http-header-cookie,由nodejs保存到客户端的cookie里,同时由java将sessionId保存到独立的缓存服务器redis里,以sessionId为key,可以多保存一些不适合保存在客户端的信息,如权限。

当客户端请求用户数据时,http会自动带上cookie,nodejs检查是否有sessionId,如无,或在redis里不存在,则返回错误或redirect到login.html,若有,则继续请求java,通常任何一个涉及到用户信息的请求,无论是renderView,还是fetchData,都需要验证,所以需要频繁的获取验证,此时redis的缓存读取效率更高。

用户退出时,由nodejs清空cookie,及redis里的sessionId,即可。

SSO实现

浏览器出于安全考虑,实现了同源策略,对于跨站请求可以使用jsonp或设置http的Access-Control-Allow-Origin实现跨域。

同源策略对cookie的访问限制,造成不同域无法相互访问(二级域名可以访问主域)。所以若A/B两个不同域名的站点,使用同一套会员体系,也无法同时登录(如baidu.com / hao123.com),而实际项目中我们需要处理这样的问题,即会员A站登录后,打开B站也要保持该会员的登录状态,我的实现见下图

SSO实现

A/B两站,分别有客户端和服务端,单站登录的客户端与服务端的通信见前图,此处不在描述,涉及跨站的流程大致如下

会员在A站登录,A站服务端生成sessionId外,再额外生成一个ticket,设置3s时效,以请求返回值的形式返回给客户端,如下,同时,将ticket以{ticket: sid}形式保存在redis里

#返回值
{
   code: 0,
   message: 'signin success',
   data: {ticket:'ffqwoij1230340lklfdf123fklk'
}

A站客户端收到返回后,请求B站的链接,如

B.com/api/auth.gif?ticket=ffqwoij1230340lklfdf123fklk

B站服务端收到该请求后,获取该ticket,到redis内验证该ticket存在,且取到sessionid,再将sessionid,通过http-header-cookie输出到B站客户端的cookie里,即为B添加的会员状态的标识。同时删除redis里的ticket。

A/B站都使用了同一个sid,且保存在同一个redis里,所以任何一方因退出而清空redis.sessionid的操作,都会引起其它站点的退出。

注意以下几点:

  • A站收到ticket后,马上发出B站的请求做登录验证,间隔时间很短,3S通常是够了,设置时效性,也更安全

  • ticket的生成需要加入请求的客户端信息,以便数据被拦截后在其它环境非法登录,如IP等信息

  • 发向B站的请求,通常有图片、iframe两种形式,后者过重,图片形式较轻。

思考该方案时参考了百度的实现,也只是参考了其发图片请求这一点,其内部的机制并不了解,加上自己的思考实现这一套方案,且用于公司的项目上。

若需要两个以上的域名登录,处理相同。

百度登录

参见百度的实现,可以看到其发出了多个crossdomain请求,每个都是向不同的域发出的请求,如hao123.com、anquanbao.com等

weixin_34289454
关注
Nodejs SSO 中间件实现原理
_
01-23 862
一、 什么是单点登录SSO) 假设用户 X 需同时登录站点 A 和站点 B,这两个站点之间其实是有关联性的,但是如果用户认证数据不通用,那将需要注册或登录两次。单点登录系统(Single Sign On,简称 SSO)就是为了解决这种场景的问题,建立一种用户认证中心,只要经过这个中心注册或登录了某一站点服务的用户,总是能够认证登录这个中心所授权的其他所有服务。 登录相比于单系统登录SSO 需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间
NodeJs NTLM认证(烂尾)
PunCha (PCH)
06-07 3871
正在做的一个公司内部网站,需要用到域认证,无奈,只得学习相关的知识,边学边写: 1. NodeJs的有一个服务器端做认证库的非常好,今天花了半天的时间,简单读了一下代码,觉得设计的不错,很容易扩展,库的名字是connect-auth,看名字就知道是expressJs的一个中间件,等有空就把一些源码阅读的笔记贴上来。 2. 接下来就是记录一些域认证相关的知识: Windows的域认证,有2个认
nodejs实现单点登录系统
Selenium
05-21 3006
单点登录SSO(Single Sign On),就是把2个及以上的业务系统中的登录功能剥离出来,形成一个新的系统,做到一次登录后在任意的业务系统中都无需登录的效果。 效果如图所示: 第一次访问www.a.com首页 跳转到www.c.com:3000登录页面,登录成功后跳转www.a.com首页 再次访问www.a.com首页,无需登录直接跳转 访问www.b.com首页,无需登录直接跳转 源码: https://github.com/wantao666/sso-nodejs 详细设计: 文章目.
auth0-demo-nodejs:用于 SSO 演示的 Node.js 应用程序
06-25
auth0-demo-nodejs 这是 Auth0 SSO 示例的 app3.com。 它已被修改,以便所有配置都来自 ENV。 #运行示例 为了运行示例,您需要安装 npm 和 nodejs。 只需运行node server.js 。
Node.js单点登录SSO详解:Session、JWT、CORS让登录更简单
最新发布
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
07-03 2870
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
基于node.js的sso(单点登录-客户端校验)
weixin_34071713的博客
02-26 562
2019独角兽企业重金招聘Python工程师标准>>> ...
nodejs实现标准sso
weixin_42576804的博客
01-03 208
首先,什么是 SSO (单点登录)? SSO 是一种身份验证机制,允许用户在多个应用程序之间无缝跳转,而无需在每个应用程序中重复输入凭据。 让我们来看看如何使用 Node.js 实现标准 SSO: 使用 Passport.js 和 passport-sso 中间件。Passport.js 是一个身份验证中间件,而 passport-sso 是一个专门用于 SSO 的 Passport 策略。 ...
使用nodejs实现标准sso server
weixin_35757531的博客
01-03 283
使用 Node.js 实现标准的 SSO 服务器,可以使用以下步骤: 在 Node.js 中安装所需的模块,例如 express、passport、passport-saml 等。 配置 express 服务器,使其能够接收并处理 HTTP 请求。 使用 passport 来实现身份验证功能。 使用 passport-saml 模块来实现 SAML 协议的支持。 在服务器端初始化 pas...
uniauth-passport-strategy:护照策略,以实现基于身份验证的应用程序流程[WIP]
05-25
Authentico是一种开放源代码的身份管理解决方案,它允许用户在一个中心位置管理他们的登录信息,然后在多个应用之间进行单点登录(Single Sign-On, SSO)。当使用uniauth-passport-strategy时,我们可以利用...
session与登录机制
前端说
05-22 9823
github 地址:戳这里 session 概念 指一类用来在客户端与服务器之间保持状态的解决方案 这种解决方案的存储结构 特点 由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。(也可以用其他存储方式比如redis) Session对象是有生命周期的 Session实例是轻量级的,所谓轻量级:是指他的创建和删除不需要消耗...
simple-sso:Node.js 中实现的单点登录授权服务器和客户端
05-30
500行Node.js简单实现单点登录SSO)中央授权单元和客户端 重要的 要运行这些示例,您需要在 linux 中的/etc/hosts文件中添加以下条目 127.0.0.1 sso.ankuranand.com 127.0.0.1 consumer.ankuranand.in 介绍 Web 应用程序使用浏览器/服务器架构,HTTP 作为通信协议。 HTTP是无状态协议。 浏览器每次请求时,服务器独立处理,不与前一个或后继请求关联。 但这也意味着任何用户都可以通过浏览器访问服务器资源。 如果要保护服务器的某些资源,必须限制浏览器的请求; 为了限制浏览器请求,您必须对浏览器请求进行身份验证,响应合法请求,忽略非法请求; 要验证浏览器请求,您必须了解浏览器请求状态。 由于HTTP协议是无状态的,所以我们让服务器和浏览器一起维护一个状态,使用'Cookies'或'Sessions'
Node.js-基于NodeExpress的SSO单点登录实践
08-09
适用于SPA的SSO(单点登录)实践,express框架基础上,使用redis作为session的store
nodejs 使用CAS 实现 单点登录SSO) 【开源库实现,简单】
weixin_30621959的博客
09-08 655
大部分企业使用 java 开发业务系统, 针对java cas的认证 demo 比较多 ,还有PHPCAS ,标准的参考这里: phpCAS 的使用 整理登录流程如下图,图片来自网络 找了不少资料,nodejs 实现的比较少,npm 上库很多,试用了好几个才成功。 推荐这里库 connect-cas 注意参数解析 Many of these options are borrowed from n...
node 实现SSO
starwmx520的博客
06-16 1764
单点登录,在多个域名环境下,一处登录,多处使用。 大公司都会这样去做, 如淘宝登录了,到了天猫又要登录,啊有点烦。 需要实现a.com 上登录了,b.com上也登录成功了。 访问b.com时就不必再登录了。 b.com 退出了,a.com也退出了。 需要解决的问题是绕过同源策略。 因为a.com是不能向b.com写cookie的。 解决办法,向a.com发起jsonp请求。
Nodejs 第六十四章(SSO单点登录
qq1195566313的博客
04-18 973
因为每个应用的权限可以不一样,所以最后生成的token也不一样,还需要一个url,登录之后重定向到该应用的地址,正规做法需要有一个后台管理系统用来控制这些,注册应用,删除应用,这里节约时间就写死了。小满科技,小满教育,都是小满旗下的公司,那么我需要给每套系统做一套登录注册,人员管理吗,那太费劲了,于是使用SSO单点登录,但是每个应用是不同的,登录用的是一套,这时候可以模仿一下微信小程序的生成一个AppId作为应用ID,并且还可以创建一个。A 应用这里用Vue展示 App.vue。
nodejs 单点登录 java,nodejs 使用CAS 实现 单点登录SSO) 【开源库实现,简单】...
weixin_30674575的博客
03-10 1040
大部分企业使用 java 开发业务系统, 针对java cas的认证 demo 比较多 ,还有PHPCAS ,标准的参考这里:整理登录流程如下图,图片来自网络找了不少资料,nodejs 实现的比较少,npm 上库很多,试用了好几个才成功。注意参数解析Many of these options are borrowed from node's url documentation. You may s...
使用Node.js实现SSO的实战项目详解
gitblog_00087的博客
04-22 395
使用Node.js实现SSO的实战项目详解 项目地址:https://gitcode.com/hezhii/nodejs-sso-example 在现代Web开发中,单一登录(Single Sign-On, SSO)已成为一种常见的身份验证方式,它允許用户在一个应用系统中登录后,无须再次认证即可访问其他关联的应用。今天,我们向大家推荐一个基于Node.js实现SSO的实战项目——hezhii/no...
nodejs基于token的登录验证
10-23
Node.js基于token的登录验证是一种常见的身份验证和授权机制。它使用令牌作为凭据来验证用户身份并授权访问受保护的资源。 当用户登录成功后,服务器会生成一个token。这个token是一个随机字符串,它包含了一些用户信息和相关权限。服务器将这个token发送给客户端,客户端将其保存在本地,如localStorage或cookie中。 当用户访问需要身份验证的资源时,客户端将token作为请求头或请求参数发送给服务器。服务器接收到请求后,会解析token并验证其有效性。若token有效且未过期,则认为用户已登录,可以授权用户访问受保护的资源。否则,服务器会返回未授权的错误响应。 优点: 1. 无状态:服务器不需要保存用户的登录状态,因此可以更好地扩展和分布式。 2. 安全性:通信过程中token被加密和签名,使其难以伪造和改变。 3. 高效性:验证过程简单,减少了服务器的负载。 4. 可扩展性:可以轻松地用于支持多个客户端和API。 缺点: 1. 客户端存储:客户端需要存储token,如果被盗用或泄露,可能会导致安全风险。 2. 无法废止tokens:一旦发出的token被盗用,服务器无法废止,除非过期时间到期或用户进行密码重置。 总之,基于token的登录验证是一种简单且高效的身份验证和授权机制,适用于大多数Web应用程序。但在实施时,必须注意安全风险,例如使用HTTPS来确保通信安全,并定期更新token以减少盗用的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值