单一登陆(Single Sign-on)问题
大型的互联网网站总有不少独立的网络应用,而每个应用都有些需要用户登陆后才能看到的内容。很明显,你不想在每个应用里搞一套自己的登陆方案,设置自己的登陆页面。再说,如果用户每换一个应用就需要登陆一次,很麻烦,我们需要一个统一的登陆方案,用户登陆一次即可访问其他应用的方案。
在论坛上看到过一些建议,一般都是利用ASP.NET里基于Form的认证方法,其中一个方案是把所有的应用变成子目录,而非单独的虚拟目录,然后集中起来放在一个虚拟目录下,然后在虚拟目录下设置单一的认证。但这方案大概只适用于网络应用都集中在单一服务器上的情形,而且强制去虚拟化也减少了其中应用们的相对独立性。
当然,微软已经提供了一个很好的方案,Passport认证服务。ASP.NET也支持这服务,查看一下System.Web.Security命名空间下以Passport开头的类名就知道了。如果你想在你的应用里使用Passport认证服务的话,你需要下载.NET Passport SDK,可以参考
或DEVX网站上的这篇文章
Set Up Passport Authentication in ASP.NET
看是如何设置的。
但在很多情形下,这方案也许不是很恰当,但我们可以模仿Passport认证服务的工作机理来定做一个方案。在MSDN上好象找不到详细的Passport协议内容,找到的这一页则不够详细。你可以参考下列文章来了解一下Passport认证过程:
Enable Single Sign-on in ASP.NET with Passport
但大概的过程是这样的:
一。用户访问你网站上的某一网页
二。两种情形
A。如果你的网页发现用户尚未被认证,则显示认证登陆(Sign In)按钮
1。用户按登陆按钮
2。你的网页重新定向用户请求到认证服务器,并提供你的网站的ID
3。两种情形
a。如果认证服务器通过cookie发现用户尚未被认证,认证服务器显示用户名字/密码登陆表单,用户输入名字/密码,认证服务器认证后,在用户浏览器端生成一个认证cookie,并重新定向用户请求回到原来你的网页,并在URL里提供用预先生成的你网站的公钥加密过的ticket和用户profile信息,这些信息的细节参考上述文章
b。如果认证服务器通过cookie发现用户已经被认证过(也许是在别的应用/网站里),认证服务器更新那个认证cookie,并重新定向回到原来你的网页,并在URL里提供用预先生成的你网站的公钥加密的ticket和用户profile信息
你的网页检查URL,用预先生成的你网站的私钥,获取用户信息,生成一认证cookie,然后显示退出认证(Sign Out)按钮
B。如果你的网页发现用户已经被认证,显示退出认证(Sign Out)按钮
三。如果用户点击退出认证按钮,则将触发一个到认证服务器的退出认证网页的请求,认证服务器的退出网页根据回来的认证cookie,为每个目前用户已经登陆的应用/网站生成一个〈IMG〉,其属性SRC则指向各个应用/网站的退出认证页面,并使认证服务器的认证cookie过期。而各个应用/网站的退出认证网页,则把自己的认证cookie过期。
结果是,用户点击退出认证按钮的话,他将从目前登陆的所有应用/网站退出。
当然,你定制的方案也许不用这么复杂或健壮,你可以考虑不使用PKI。
转自:http://blog.joycode.com/saucer/archive/2004/02/25/13789.aspx