适合每个人的单点登陆(SSO)
单点登陆(SSO),一个很老的问题.
详细内容请参考 Single Sign-On for everyone
Michael Morozov对很多情形的SSO做了阐述:
1. 父/子应用在虚拟子目录之间的SSO.
2. 不同授权凭证应用之间的SSO(用户名重映射)
3. 同根下的二级子域名应用之间的SSO
4. 不同.NET版本应用之间的SSO
5. 不同域名应用之间SSO.
6. 混合验证模式下的SSO(窗体验证/Windows验证)
尽管已经详细描述了这么多种情形,但我还是遇到了一点儿问题. 花了俺一天, 特此共享一下:
(我测试的是: http://localhost/test1/, http://localhost/test2/, http://localhost/test3/)
1. 在所有应用的web.config中设定相同的name,如.CROAUTH
<authentication mode="Forms">
<forms name=".CROAUTH" protection="All" loginUrl="Login.aspx" />
</authentication>
2. 所有应用的web.config的System.Web节点下添加machineKey,默认值是各个应用自动生成的
<machineKey validationKey="F9D1A2D3E1D3E2F7B3D9F90FF3965ABDAC304902" decryptionKey="F9D1A2D3E1D3E2F7B3D9F90FF3965ABDAC304902F8D923AC" validation="SHA1" />
3. 每个应用都是独自的登陆页面,验证后以RedirectFromLoginPage跳转.
if(fa.Login(strLogCode,strPassword))
FormsAuthentication.RedirectFromLoginPage(strLogCode, false);
4. 尽管号称SSO,他们仅共享cookie,跳转时有几个应用仍将建立几个Seesion.
各应用之间仅共享登陆名信息,需有Session补全信息机制.如根据LogCode取部门,邮件等.