浅析单点登录,以及不同二级域名下的SSO实现
一家公司有多个产品线,就可能要有多个子域名,下头以baidu域名为例,a.baidu.com, b.baidu.com。com 是顶级域名,baidu 就是一个二级域名,a和b就是子域名。
当用户在a产品线上登录了系统,此时切换到b产品,为了增加用户体验,不必再让用户登录一次b。所以单点登录就出来了。
一般的实现就是增加一个passport.baidu.com,专门搞登录的中控服务。
当用户第一次登录 baidu域下,比如a产品。此时先跳转到passport下进行登录,登录成功以后,passport生成一个token,在session服务中插入登录信息,同时也将其种在cookie里,就放在 .baidu.com域下,当然这个token会和session中的登录信息有联系。
当用户登录b产品线时,检测cookie下这个token在passport的session服务中是否存在,如果存在就认为该用户已经登录过在线状态。
还有一种需要面对的情况,比如公司还有一个二级域名,举例 hao123.com,这下二级域名不一样了。跨域了,cookie就不能被passport直接拿到了。这怎么办呢?
可以这样处理,当用户第一次在passport下登录时,生成的这个token, 在passport下跨域去请求 hao123.com,让 hao123.com服务去把这个token种在自己域下cookie里。当用户登录成功 a产品以后,随后去访问了 hao123.com, hao123.com 域下的token被passport的session服务检测,发现ok,就返回给 hao123.com帐号信息。
以上的实现很容易当然也很粗糙,比如某一个产品线下用户的cookie被盗了,这个token被人用了,这个人就可以随意使用你的帐号在xxx下所有产品线浏览。
这就需要更安全的机制。各个产品线也有各自的token生成。
可以用浏览器观察下登录百度passport的现象:
chrome浏览器登录(在登录passport时,勾选保存log,避免请求日志刷新没了。搜索hao123关键字)。
发现这个跨域请求是利用图片的src属性,请求hao123站点。把加密的token发到hao123,hao123响应,setcookie把token放到hao123域下。(这里说的token即是百度的bduss)。