SSO - 开篇引例
进公司以来, 所做的产品中, 下面的子系统就没有少于10个的, 其中有的是.net做的, 有的是java做的, 还有安卓端, ios端. 那么这么多子系统, 我可能需要访问其中的多个(同一平台), 我是否需要登录多次来操作呢? 这样是不是太不方便了. 在我们登录qq之后, 进入qq邮箱, 也并没有让我们多登录一次, 而是直接进去了. 那么在我们的这些系统中, 怎么来实现这种功能呢?
到这里, 就引出今天的主题 - SSO 单点登录. 在我们登录系统A之后, 去访问系统B, 此时并不需要再去登陆一次了. 这里有一个前提, 就是不论系统A还是系统B, 用的都是同一个账户和密码. 如果他们之间的用户名和密码不相同, 就麻烦很多了.
在网上搜到的单点登录解决方案, 比较多的是CAS, 耶鲁大学弄得一个单点登录解决方案。当然,在此篇,并不会介绍到CAS,只是通过一个小例子,来看看轮廓而已。
一、效果展示
在这里,我有三个网站, 当我在Server这个网站登录之后,ClientA,ClientB我直接输入backUrl后面的地址, 看看是否要让我登录。
输入之后, 让我直接进去了, 而没有让我再次登录。
当我在HomeA页面登出之后, 再去刷新其他的两个页面来看。
其他两个页面,也被迫登出了。
从效果上看, 是不是一个系统登录, 多个系统可以免登录了, 一处登出, 多个系统都被登出。 这就是一个单点登录的效果了。
二、关键代码
服务器登录部分:
[NoLogin] public ActionResult LoginCheck(string userName, string userPwd) { if (userName == "admin" && userPwd == "123456") { User user = new User { Guid = Guid.NewGuid().ToString(), Name = "admin", Pwd = "123456" }; var newCookie = new HttpCookie("userCode", user.Guid); newCookie.Expires = DateTime.Now.AddDays(1); Response.Cookies.Add(newCookie); RedisCache.Instance.Set(user.Guid, user, TimeSpan.FromMinutes(1)); return Json(new { status = "ok", guid = user.Guid }); } return Json(new { status = "notMatch" }); }
这里的NoLogin就是一个空的特性,里面啥都没有,可以放在类和方法上,用来判断是否不需要登录就可以直接访问页面。
当验证成功登录后, 将生成一个凭据Guid, 一会用户手持这个凭据来系统验证, 我这边就只看redis缓存中是否有这个缓存存在, 有则表示已经登录。并没有做更多的验证了。
我这里的redis是部署在ubuntu虚拟机上面的, redis对windows的支持并不是很好, 但是也能找到windows的版本, 如果可能的话, 我还是建议使用 linux 部署 redis。
客户端验证部分:
public class SSOClientAttribute : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { //判断请求的方法或者控制器上, 有没有免登陆特性 if (filterContext.ActionDescriptor.IsDefined(typeof(NoLoginAttribute), false) || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(NoLoginAttribute), false)) { return; } //需要登陆的方法, 继续验证 base.OnAuthorization(filterContext); } protected override bool AuthorizeCore(HttpContextBase httpContext) { HttpCookie cookie = httpContext.Request.Cookies["userCode"]; if (cookie == null || string.IsNullOrEmpty(cookie.Value)) return false; var user = RedisCache.Instance.GetOrDefault<User>(cookie.Value); if (user != null) { cookie.Expires = DateTime.Now.AddDays(1); httpContext.Response.SetCookie(cookie); RedisCache.Instance.Set(user.Guid, user, TimeSpan.FromMinutes(10)); return true; } return false; } protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) { string loginUrl = ConfigurationManager.AppSettings["LoginUrl"]; string Url = filterContext.RequestContext.HttpContext.Request.Url.AbsoluteUri; loginUrl += "?backUrl=" + Url; filterContext.HttpContext.Response.Redirect(loginUrl, true); } }
登出部分就简单了, 只要清除cookie和redis缓存就行了。代码就不贴了。
三、结束语
CAS的单点登录比这个复杂多了, 这里只是我自己弄得一个小Demo,只是对单点登录的一个初步认识,后面有机会的话, 希望我会把Cas的搭建、使用方法或者解析贴出来。
参考:
蔡的mysso例子(以前看过他的例子,我写的更简单点,能实现效果就成了)