单点登录cookie跨域解决方案

最新推荐文章于 2024-07-23 09:11:23 发布
最新推荐文章于 2024-07-23 09:11:23 发布
阅读量896 收藏
点赞数
分类专栏: cookie 文章标签: 单点登录cookie cookie跨域解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaogg3678/article/details/103639419
版权

通过动态写入html,留的后门3个跨越标签<script><style><img>

------------web1-----------------------index.jsp-------------

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>My JSP 'index.jsp' starting page</title>
    <meta http-equiv="pragma" content="no-cache">
    <meta http-equiv="cache-control" content="no-cache">
    <meta http-equiv="expires" content="0">    
    <meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
    <meta http-equiv="description" content="This is my page">
    <!--
    <link rel="stylesheet" type="text/css" href="styles.css">
    -->
  </head>
  
  <body>
    ================web1==============
  <button id="btn">点击</button>
  <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
  <script>
    $('#btn').click(function(){
            var frame = document.createElement('script');
            frame.src = 'http://127.0.0.1:8081/web2/servlet/Web2Servlet?name=leo&age=30&callback=func';
            $('body').append(frame);
        });
        
        function func(res){
            alert(res.message+res.name+'你已经'+res.age+'岁了');
        }
  </script>

  </body>
</html>

 

-----------------web2----------Web2Servlet.java------------------

package web2;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.google.gson.Gson;

public class Web2Servlet extends HttpServlet {

    /**
         * Constructor of the object.
         */
    public Web2Servlet() {
        super();
    }

    /**
         * Destruction of the servlet. <br>
         */
    public void destroy() {
        super.destroy(); // Just puts "destroy" string in log
        // Put your code here
    }

    /**
         * The doGet method of the servlet. <br>
         *
         * This method is called when a form has its tag value method equals to get.
         * 
         * @param request the request send by the client to the server
         * @param response the response send by the server to the client
         * @throws ServletException if an error occurred
         * @throws IOException if an error occurred
         */
    public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        System.out.println("==========web2==============");
        String name = request.getParameter("name");
        String age = request.getParameter("age");
        System.out.println("==========name=============="+name);
        System.out.println("==========age=============="+age);
        Map<String,Object> map=new HashMap<String,Object>();
        map.put("message", "success");
        map.put("name", "耿明明");
        map.put("age", "19");
        Gson gson = new Gson();
        String json = gson.toJson(map);
        Cookie ck = new Cookie("lastAcceptTime", System.currentTimeMillis()+"");
        // 设置cookie的存活时间,单位:秒
        ck.setMaxAge(500);
        ck.setPath("/");// 与上面的效果一致,让所有访问地址以path开头的servlet共享该cookie,即这种情况浏览器都携带
        response.addCookie(ck);
        // 解决json中文乱码
        response.setContentType("text/json;charset=UTF-8");
        response.setCharacterEncoding("UTF-8");
        PrintWriter out = response.getWriter();
        out.println(json);
        out.flush();
        out.close();
    }

    /**
         * The doPost method of the servlet. <br>
         *
         * This method is called when a form has its tag value method equals to post.
         * 
         * @param request the request send by the client to the server
         * @param response the response send by the server to the client
         * @throws ServletException if an error occurred
         * @throws IOException if an error occurred
         */
    public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        doGet(request, response);
    }

    /**
         * Initialization of the servlet. <br>
         *
         * @throws ServletException if an error occurs
         */
    public void init() throws ServletException {
        // Put your code here
    }

}
 

 

 

 

  ==========统一认证中心============

package com.wzwsso.cn.web;

import java.util.concurrent.TimeUnit;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.codec.digest.DigestUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Controller;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import com.wzwsso.cn.pojo.User;
import com.wzwsso.cn.service.UserService;
import com.wzwsso.cn.utils.WzwResultUtil;

/**
 * 
 * @author 微笑
 * @decription 用户认证的controller
 * @date 2018-04-09
 */
@Controller
@RequestMapping(value="/user")
public class UserController {
   
   @Autowired
   private UserService userService;
   
   @Autowired
   private RedisTemplate<String, Object> redisTemplate;
   
   /**
    * 用户授权接口
    * @param request
    * @return WzwResultUtil
    */
   @RequestMapping(value="auth",method=RequestMethod.POST)
   @ResponseBody
   public WzwResultUtil auth(HttpServletRequest request,HttpServletResponse response){
      try {
         String tokenVal = request.getParameter("token");
         //查询是否有用户信息
         Object redisUser = redisTemplate.opsForValue().get(tokenVal);
         if(redisUser==null) {
            return WzwResultUtil.build(-2, "用户登录凭证错误", "用户登录凭证错误");
         }
         //更新缓存的时间
         updateCache(tokenVal,(User)redisUser);
         /** 将token写入客户端游览器  **/
          Cookie clientCookie = new Cookie("wzw_token", tokenVal);
          clientCookie.setMaxAge(60*30);
          clientCookie.setPath("/");
          response.addCookie(clientCookie);
         return WzwResultUtil.buildIsOk("该凭证授权成功!");
      } catch (Exception e) {
         // TODO: handle exception
         e.printStackTrace();
         return WzwResultUtil.buildIsFail(e.getMessage());
      }
   }
   
   /**
    * 用户统一登录接口
    * @param request
    * @return WzwResultUtil
    */
   @RequestMapping(value="login",method=RequestMethod.POST)
   @ResponseBody
   public WzwResultUtil login(HttpServletRequest request,HttpServletResponse response){
      try {
         String sign = "wzw_123";
         String userName = request.getParameter("userName");
         String passWd = request.getParameter("passWd");
         String from = request.getParameter("from");
         
         if(StringUtils.isEmpty(userName)||StringUtils.isEmpty(passWd)){
            return WzwResultUtil.build(-1, "用户名和密码不能为空", null);
         }
         
         User dbUser = userService.findUserByUserName(userName.trim());
         
         if(dbUser==null){
            return WzwResultUtil.build(-2, "用户名或密码错误", null);
         }
         
         if(!dbUser.getPassWd().trim().equals(passWd.trim())){
            return WzwResultUtil.build(-2, "用户名或密码错误", null);
         }else{
            //登录成功
            //需要生成登录成功的凭证token 返回给客户端 同时redis服务器保存用户信息 token作为redis的key 用户基本信息作为对应的value
            //1.token生产规则  MD5(userName+passWd+Sign)
            String key = DigestUtils.md5Hex(dbUser.getUserName()+dbUser.getPassWd()+sign);
            updateCache(key,dbUser);
            /** 将token写入客户端游览器  **/
             Cookie clientCookie = new Cookie("wzw_token", key);
             clientCookie.setMaxAge(60*30);
             clientCookie.setPath("/");
             response.addCookie(clientCookie);
            return WzwResultUtil.buildIsOk(key);//将token返回到客户端程序
         }
      } catch (Exception e) {
         // TODO: handle exception
         e.printStackTrace();
         return WzwResultUtil.buildIsFail(e.getMessage());
      }
   }
   
   /**
    * 设置或者更新缓存  缓存默认保存半个小时
    * @param key
    * @param dbUser
    */
   public void updateCache(String key,User dbUser){
      redisTemplate.opsForValue().set(key, dbUser,60*30,TimeUnit.SECONDS);//设置到缓存 默认半个小时
   }
}

 

==================web1,web2个客户端拦截器,通过httpclient 调用服务端统一登录认证接口

package com.wzwweb2.cn.interceptor;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.wzwweb1.cn.utils.HttpUtil;

/**
 *
 * @author 微笑
 * @description 登录拦截处理
 * @date 2018-04-09
 */
public class LoginInterceptor implements HandlerInterceptor {

   @Override
   public void afterCompletion(HttpServletRequest httpRequest,
                        HttpServletResponse httpResponse, Object arg2, Exception arg3)
         throws Exception {

   }

   @Override
   public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
                     Object arg2, ModelAndView arg3) throws Exception {


   }

   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                      Object object) throws Exception {
      System.out.println("进入了web1拦截器================");
      String urlString = request.getRequestURI();
      //请求的路径
      String contextPath=request.getContextPath();
      String method = request.getMethod();
      System.out.println("==========method:"+method);
      if(urlString.endsWith("login")&&"POST".equals(method)){
         return true;
      }else{
         //如果不是登录方法 那么就要去sso服务器验证是否登录过 没有登录过返回到登录页面 登录过就通过
         String tokenVal = com.wzwweb1.cn.utils.CookiesGetUtil.getCookies("wzw_token", request);
         if(StringUtils.isEmpty(tokenVal)){
//          response.sendRedirect(contextPath + "/index");
            request.getRequestDispatcher("/WEB-INF/jsp/index.jsp").forward(request,response);
            return false;
         }

         Map<String,String> params = new HashMap<>();
         params.put("token", tokenVal);

         String result1 = HttpUtil.send("http://127.0.0.1:8081/sso/user/auth",params,"utf-8");
         JSONObject obj = JSON.parseObject(result1);
         if(obj.getInteger("code")==200){
            //登录成功
            //request.getRequestDispatcher("/WEB-INF/jsp/web1Main.jsp").forward(request,response);
            return true;
         }else{
            //
//            response.sendRedirect(contextPath + "/index");
            request.getRequestDispatcher("/WEB-INF/jsp/index.jsp").forward(request,response);
            return false;
         }
      }

   }

}

 

 

xiaogg3678
关注
专栏目录
使用cookie实现跨域系统单点登录
Think In JAVA—Max
04-18 1万+
      上一篇博客介绍了单点登录的认证流程和实现,本文将介绍通过cookie实现单点登录。      单点登录作为目前比较流行的服务于企业业务整合的解决方案之一, 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。实现这一需求的思路和技术各有千秋. 一、SSO 的主要实现方式有: 1、   共享 cookies 基于共享同域的 cookie 是
Cookie同域,跨域单点登录
diehe5608的博客
07-10 717
Cookie 同域单点登录 最近在做一个单点登录的系统整合项目,之前我们使用控件实现单点登录(以后可以介绍一下)。但现在为了满足客户需求,在不使用控件情况下实现单点登录,先来介绍一下单点登录单点登录:多个不同系统整合到统一加载个平台,用户在任何一个系统登录后,可以访问这个统一加载上的所有系统。登录之后,用户的权限和信息不再受某个系统的限制,即使某个系统出现故障(包括...
Cookie、Session、Token 、JWT、单点登录 详解
最新发布
weixin_68074170的博客
07-23 1034
狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 session 和 token 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。
基于Cookie跨域单点登录问题
weixin_34380296的博客
08-20 222
由于项目中,需要用的单点登录,主要的思路是:系统1:用户名密码-->写入Cookie-->其他系统读取Cookie。 1、在同一个服务器下的Cookie共享 @Component("userLoginAction") @Namespace("/userLogin") @ParentPackage("json-default") public class UserLogin...
利用cookie跨域单点登录的简单实现
weixin_33881041的博客
12-14 107
Configuration: 1. Web.Config 在两个站点的配置配置文件machine节点上相同的validationKey, decryptionKey and validation的值,如 &lt;machineKey validationKey="282487E295028E59B8F411ACB689CCD6F39DDD21E6055A3EE480424315994760A...
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是...总之,JWT是现代Web应用中实现安全身份验证和授权的有效工具,尤其在跨域单点登录场景下,它提供了高效、轻量级的解决方案。理解JWT的工作原理和使用方式对于构建安全的分布式系统至关重要。
vue+springboot前后端分离实现单点登录跨域问题解决方法
08-28
Vue+SpringBoot前后端分离实现单点登录跨域问题解决方法 单点登录概述 单点登录(Single Sign-On,SSO)是指用户只需登录一次,即可访问所有相关的应用系统,而不需要在每个系统中重复登录。这种机制可以提高用户...
单点登录跨域iframe互相通信方案.zip
10-12
该压缩包文件"单点登录跨域iframe互相通信方案.zip"提供了一种解决方案,可能包含以下关键知识点: 1. **OAuth 2.0或SAML协议**:单点登录通常基于OAuth 2.0或Security Assertion Markup Language (SAML)等标准协议...
详解可跨域单点登录(SSO)实现方案【附.net代码】
10-21
本篇文章详细介绍了实现可跨域单点登录的技术方案,并提供了基于.net的代码实例,帮助读者理解如何在实际开发中部署和应用SSO技术。文章首先回顾了传统单站点登录的机制,即通过session和cookie记录用户登录状态,...
单点登录(SSO)Cookie跨域问题 CAS原理
sciense的博客
04-26 7746
1、回顾单系统登陆 我么知道 Http 是无状态协议,这意味着服务器无法确认用户信息。于是W3C就提出了给每个用户发一个通行证,无论谁访问都要携带通行证,服务器通过通行证确认信息。这个通行证就是Cookie。Session相当于在服务器中简历的一份“客户明细表”。Session 不能依据 Http连接来判断是否为同一个用户,于是服务器向浏览器发送一个Cookie,Session就是依据cookie来识别是否是同一用户。 流程:用户信息保存在 Session中 ===》如果Session中可以查到放行,.
SSO单点登录【基于cookie二级域名下跨域共享】
06-25
SSO单点登录【基于cookie二级域名下跨域共享】的简单实现。
java跨域单点登录实现
01-28
跨域单点登录实现项目代码
单点登录cookie跨域设置
Calla_Lj的博客
11-20 3872
单点登录cookie跨域设置 单点登录原理 当公司有好多系统存在并运行时候,用户每个系统使用之前都需要登录认证,操作起来就比较重复,用户体验感不好,然后就衍生出来单点登录.如下图所示: 单点登录: 英文名(Single Sign On), 公司内部所有应用系统共享一个身份认证系统,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户, 从而完成单点登录的功能。 单点登录优点: 1)提高...
cookie跨域,实现单点登录
热门推荐
hanjiong的专栏
12-11 2万+
   Cookie 跨域,实现单点登录 Table title      
cookie 实现跨域单点登录
nkdas的博客
12-26 215
单点登录
SpringSession+Redis实现单点登录解决cookie跨域问题
weixin_38860401的博客
03-21 6209
如果有写的不对的地方请指出。谢谢 本文假设你已经安装好redis并且可以使用java正常对redis数据库进行操作。 为什么要使用单点登录:在一些比较大的项目中,一个项目会分为很多模块,每个模块都会部署到单独的服务器,使用原生的HttpSession只能将session保存在一台服务器,不能实现资源共享,这样就造成可能用户已经在A服务器登录了...
sso单点登录跨域cookie共享 (跨域缓存共享)
qq_42848910的博客
04-11 2866
使用cookie的两个属性 domain-域 通过设置这个属性可以使多个web服务器共享cookie。domain属性的默认值是创建cookie的服务器的主机名。不能将一个cookie的域设置成服务器所在的域之外的域。 举个例子: 让位于a.taotao.com的服务器能够读取b.taotao.com设置的cookie值。如果b.taotao.com的页面创建的cookie把 它的path属性设置...
跨域单点登录解决方案
程序员光剑
10-10 1万+
单点登录有两种模型,一种是共同父域下的单点登录(例如域名都是 xx.a.com),还有就是完全跨域下的单点登录(例如域名是xx.a.com,xx.b.com),本文我们讲一下完全跨域下的单点登录该怎么实现。基于安全考虑,想通过cookie来实现这个功能是不太可能的了(也许有其他黑科技可以实现,这里不做讨论)。这里介绍的方案是参考shiro框架的跨域session共享方案来实现的。我们知道浏览器访问...
优雅实现单点登录跨域cookie策略
"单点登录在项目中的实现愚公之资料库系列,通过跨域跳转和cookie共享实现单点登录流程" 单点登录(Single Sign-On,简称SSO)是一种允许用户在一个应用系统中登录后,无需再次认证即可访问其他相互信任的应用系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值