多站点单点登录实现业务思路
一般来说单点认证都需要两端来完成,在认证中心端的我们称之为SSO,在网站端的模块我们称之为PSO。
两个模块之间采用二次重定向技术来实现同步两端票据的方式来实现单点登陆。
为什么需要单点登录?产品刚上线时,一般由于用户量少,所有的功能都放在一起,一般也不需要具体的单点登录。随着用户量和业务发展的需要,要求逐步将产品按功能或性能分为相应独立的站点,并分开部署,这就需要在各个站点之间进行单点登录,以达到用户一次登录,就可以使用多个站点。
一、单点登录实现
1、简单方法:
在同一个域内的站点,可以简单的通过共享Cookie(将登录用户名存放Cookie中)来实现单点登录。这种方法实现简单,安全性方法可以通过将Cookie值加密方式加强,但对不同域下及不同开发语言下(如A站点C#,B站点C)实现麻烦。
2、推荐方法:
建立统一的认证中心,认证中心提供:
(1)用户登录认证(认证用户名和密码),如果成功,返回表示本次登录的登录Token
(2)登录Token认证(认证Token是否正确),如果成功,返回当前登录的用户名
(3)延长Token有效期
(4)退出(使Token失效)
认证中心独立于各个站点,单点流程一般场景如下:
- 用户在站点A输入用户名和密码点击登录
- 站点A将用户名和密码转发给认证中心进行认证,认证中心返回Token
- 站点A将当前登录用户和Token存入Session(或Cookie)
- 在站点A上点击连接访问站点B,通过URL参数方式,将Token带给站点B
- 站点B将Token转交到认证中心,认证正确,返回当前用户名。
- 站点B将当前登录用户和Token存入Session(或Cookie),完成登录流程
这样的设计下的Token,还可以用在异步使用Ajax去访问服务器端的接口(接口可能独立部署在不同的站点下),这样只需要带上Token,服务器端的接口认证Token通过后,直接返回这个登录用户的相应用户信息。
3、安全性考虑
(1)用户登录认证接口,可增加认证频率、认证IP等限制,防止暴力攻击。
(2)Token其实就是一串表示本次登录的唯一字符串,可以生成字符串时,增加摘要信息。如Token的组成为:A+MD5(A+PWD) 的方式,A为随机生成的GUID,这样在验证Token时,就可以直接通过算法来验证合法性,只有算法验证通过后,再进行下一步的操作。
登陆后产生一个SSO的票据,这个票据是最重要的,因为它是决定用户是否登陆的关键。这个票据可以是Cookie,也可以是Session,我比较倾向于Cookie,因为现在有3DES加密,加密后篡改Cookie几乎成为不可能,所以无论是对于服务器负担来说还是安全性都是Cookie比较好,可能人认为万一不支持Cookie呢,不过我想Demo应该没问题吧,大不了我设计成两个都支持。
PS,为什么不用非对称加密?其实那个效率不高,3DES的安全性已经足够了,至少现在还没有人宣称能破解。
在登陆后就可以通知用户你已经登陆了,现在你可以去访问成员站点了,这个时候用户点击了成员站点的URL,进去了,这个时候首先就需要接受PSO组件的盘查,你有没有PSO的票据呢?很显然是没有的,所以这个时候请求就被Redirect回了认证中心,认证中心检查用户已经有了SSO的票据了,认为用户已经登录了,就把用户的SSO票据附加在URL后边然后Redirect回成员站点,成员站点的PSO这个时候获取到了SSO票据,于是知道了用户已经在认证端登录了,于是就创建一个PSO票据,然后返回给用户他所请求的内容。所以我们来看看其实PSO的逻辑更加复杂一点。
我们可以看到其实两个模块的功能都不算复杂,这里存在几个现实的问题,第一个是加密问题,票据需要加密,传输的URL也需要加密。
在SSO把票据通过URL发送给PSO的时候,如果我们能够截获这个URL,不管他加没有加密,在下一次我们直接用这个URL去访问站点的时候因为已经包含SSO票据了,所以PSO会认为已经登陆了而直接产生PSO票据然后就让用户进去了,这显然是一个漏洞。所以呢,我们需要在这里给这个URL加一点盐值(所谓盐值其实就是加点料),我们通过在URL里加入时间戳来让这个URL具备时间限制,这个样子URL具备失效期,过了这个时间即使截获到了这个URL也完全没有作用了。
二、总结:
1、什么是单点登录?解释:登录一个系统后,其它系统无需再次登录,即可进入。
举个例子:
你登录了淘宝,然后你进入天猫,发现你不用登录了。这时你要注意到,淘宝跟天猫可是完全不一样的域名。
你登录淘宝后,你的浏览器得到了cookie,但是这个cookie是在淘宝域名下的。你的天猫域名下并没有cookie。
这个时候你要想办法让天猫域名下也有这个相同的cookie。假设你的天猫域名下也有这个cookie。
当你的浏览器进入天猫时,你的浏览器会携带天猫域名下的cookie去服务器验证。
但是这个cookie对应的可是淘宝域名下的session数据,这个时候又该如何呢。
从这个例子中引出两个问题:
(1)跨域种cookie(可以看之前博客:跨域设置cookie的问题)
(2)服务端保持cookie对应的session数据是一样的
2、解决思路
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 单元测试从入门到精通
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)
· winform 绘制太阳,地球,月球 运作规律
2017-08-12 浅析List.remove在for循环中会出现的问题及解决方案
2017-08-12 MyBatis报错:Mapped Statements collection already contains value for XXX 的可能原因
2017-08-12 浅析int类型参数当不传参时默认总是0的问题
2017-08-12 浅析FOUC是什么以及如何避免
2017-08-12 解决idea中“系统找不到指定路径”的问题
2017-08-12 Java之throw和throws的区别及java中的异常处理
2017-08-12 浅析JavaScript中的错误处理:throw、try 和 catch、finally 语句