搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      單點(diǎn)登錄的實(shí)現(xiàn)方式有哪些

      Linux愛好者 ? 來源:Linux愛好者 ? 作者:張永恒 ? 2021-02-02 14:00 ? 次閱讀

      前言

      實(shí)現(xiàn)方式一:父域 Cookie

      實(shí)現(xiàn)方式二:認(rèn)證中心

      實(shí)現(xiàn)方式三:LocalStorage 跨域

      補(bǔ)充:域名分級

      前言

      在 B/S 系統(tǒng)中,登錄功能通常都是基于 Cookie 來實(shí)現(xiàn)的。當(dāng)用戶登錄成功后,一般會將登錄狀態(tài)記錄到 Session 中,或者是給用戶簽發(fā)一個 Token,無論哪一種方式,都需要在客戶端保存一些信息(Session ID 或 Token ),并要求客戶端在之后的每次請求中攜帶它們。

      在這樣的場景下,使用 Cookie 無疑是最方便的,因此我們一般都會將 Session 的 ID 或 Token 保存到 Cookie 中,當(dāng)服務(wù)端收到請求后,通過驗(yàn)證 Cookie 中的信息來判斷用戶是否登錄 。

      單點(diǎn)登錄(Single Sign On, SSO)是指在同一帳號平臺下的多個應(yīng)用系統(tǒng)中,用戶只需登錄一次,即可訪問所有相互信任的應(yīng)用系統(tǒng)。

      舉例來說,百度貼吧和百度地圖是百度公司旗下的兩個不同的應(yīng)用系統(tǒng),如果用戶在百度貼吧登錄過之后,當(dāng)他訪問百度地圖時無需再次登錄,那么就說明百度貼吧和百度地圖之間實(shí)現(xiàn)了單點(diǎn)登錄。

      單點(diǎn)登錄的本質(zhì)就是在多個應(yīng)用系統(tǒng)中共享登錄狀態(tài)。如果用戶的登錄狀態(tài)是記錄在 Session 中的,要實(shí)現(xiàn)共享登錄狀態(tài),就要先共享 Session,比如可以將 Session 序列化到 Redis 中,讓多個應(yīng)用系統(tǒng)共享同一個 Redis,直接讀取 Redis 來獲取 Session。

      當(dāng)然僅此是不夠的,因?yàn)椴煌膽?yīng)用系統(tǒng)有著不同的域名,盡管 Session 共享了,但是由于 Session ID 是往往保存在瀏覽器 Cookie 中的,因此存在作用域的限制,無法跨域名傳遞,也就是說當(dāng)用戶在 app1.com 中登錄后,Session ID 僅在瀏覽器訪問 app1.com 時才會自動在請求頭中攜帶,而當(dāng)瀏覽器訪問 app2.com 時,Session ID 是不會被帶過去的。實(shí)現(xiàn)單點(diǎn)登錄的關(guān)鍵在于,如何讓 Session ID(或 Token)在多個域中共享。

      實(shí)現(xiàn)方式一:父域 Cookie

      在將具體實(shí)現(xiàn)之前,我們先來聊一聊 Cookie 的作用域。

      Cookie 的作用域由 domain 屬性和 path 屬性共同決定。domain 屬性的有效值為當(dāng)前域或其父域的域名/IP地址,在 Tomcat 中,domain 屬性默認(rèn)為當(dāng)前域的域名/IP地址。path 屬性的有效值是以“/”開頭的路徑,在 Tomcat 中,path 屬性默認(rèn)為當(dāng)前 Web 應(yīng)用的上下文路徑。

      如果將 Cookie 的 domain 屬性設(shè)置為當(dāng)前域的父域,那么就認(rèn)為它是父域 Cookie。Cookie 有一個特點(diǎn),即父域中的 Cookie 被子域所共享,換言之,子域會自動繼承父域中的Cookie。

      利用 Cookie 的這個特點(diǎn),不難想到,將 Session ID(或 Token)保存到父域中不就行了。沒錯,我們只需要將 Cookie 的 domain 屬性設(shè)置為父域的域名(主域名),同時將 Cookie 的 path 屬性設(shè)置為根路徑,這樣所有的子域應(yīng)用就都可以訪問到這個 Cookie 了。

      不過這要求應(yīng)用系統(tǒng)的域名需建立在一個共同的主域名之下,如 tieba.baidu.com 和 map.baidu.com,它們都建立在 baidu.com 這個主域名之下,那么它們就可以通過這種方式來實(shí)現(xiàn)單點(diǎn)登錄。

      總結(jié):此種實(shí)現(xiàn)方式比較簡單,但不支持跨主域名。

      實(shí)現(xiàn)方式二:認(rèn)證中心

      我們可以部署一個認(rèn)證中心,認(rèn)證中心就是一個專門負(fù)責(zé)處理登錄請求的獨(dú)立的 Web 服務(wù)。

      用戶統(tǒng)一在認(rèn)證中心進(jìn)行登錄,登錄成功后,認(rèn)證中心記錄用戶的登錄狀態(tài),并將 Token 寫入 Cookie。(注意這個 Cookie 是認(rèn)證中心的,應(yīng)用系統(tǒng)是訪問不到的。)

      應(yīng)用系統(tǒng)檢查當(dāng)前請求有沒有 Token,如果沒有,說明用戶在當(dāng)前系統(tǒng)中尚未登錄,那么就將頁面跳轉(zhuǎn)至認(rèn)證中心。由于這個操作會將認(rèn)證中心的 Cookie 自動帶過去,因此,認(rèn)證中心能夠根據(jù) Cookie 知道用戶是否已經(jīng)登錄過了。

      如果認(rèn)證中心發(fā)現(xiàn)用戶尚未登錄,則返回登錄頁面,等待用戶登錄,如果發(fā)現(xiàn)用戶已經(jīng)登錄過了,就不會讓用戶再次登錄了,而是會跳轉(zhuǎn)回目標(biāo) URL ,并在跳轉(zhuǎn)前生成一個 Token,拼接在目標(biāo) URL 的后面,回傳給目標(biāo)應(yīng)用系統(tǒng)。

      應(yīng)用系統(tǒng)拿到 Token 之后,還需要向認(rèn)證中心確認(rèn)下 Token 的合法性,防止用戶偽造。確認(rèn)無誤后,應(yīng)用系統(tǒng)記錄用戶的登錄狀態(tài),并將 Token 寫入 Cookie,然后給本次訪問放行。(注意這個 Cookie 是當(dāng)前應(yīng)用系統(tǒng)的,其他應(yīng)用系統(tǒng)是訪問不到的。)當(dāng)用戶再次訪問當(dāng)前應(yīng)用系統(tǒng)時,就會自動帶上這個 Token,應(yīng)用系統(tǒng)驗(yàn)證 Token 發(fā)現(xiàn)用戶已登錄,于是就不會有認(rèn)證中心什么事了。

      這里順便介紹兩款認(rèn)證中心的開源實(shí)現(xiàn):

      Apereo CAS 是一個企業(yè)級單點(diǎn)登錄系統(tǒng),其中 CAS 的意思是”Central Authentication Service“。它最初是耶魯大學(xué)實(shí)驗(yàn)室的項(xiàng)目,后來轉(zhuǎn)讓給了 JASIG 組織,項(xiàng)目更名為 JASIG CAS,后來該組織并入了Apereo 基金會,項(xiàng)目也隨之更名為 Apereo CAS。

      XXL-SSO 是一個簡易的單點(diǎn)登錄系統(tǒng),由大眾點(diǎn)評工程師許雪里個人開發(fā),代碼比較簡單,沒有做安全控制,因而不推薦直接應(yīng)用在項(xiàng)目中,這里列出來僅供參考。

      總結(jié):此種實(shí)現(xiàn)方式相對復(fù)雜,支持跨域,擴(kuò)展性好,是單點(diǎn)登錄的標(biāo)準(zhǔn)做法。

      實(shí)現(xiàn)方式三:LocalStorage 跨域

      前面,我們說實(shí)現(xiàn)單點(diǎn)登錄的關(guān)鍵在于,如何讓 Session ID(或 Token)在多個域中共享。

      父域 Cookie 確實(shí)是一種不錯的解決方案,但是不支持跨域。那么有沒有什么奇淫技巧能夠讓 Cookie 跨域傳遞呢?

      很遺憾,瀏覽器對 Cookie 的跨域限制越來越嚴(yán)格。Chrome 瀏覽器還給 Cookie 新增了一個 SameSite 屬性,此舉幾乎禁止了一切跨域請求的 Cookie 傳遞(超鏈接除外),并且只有當(dāng)使用 HTTPs 協(xié)議時,才有可能被允許在 AJAX 跨域請求中接受服務(wù)器傳來的 Cookie。

      不過,在前后端分離的情況下,完全可以不使用 Cookie,我們可以選擇將 Session ID (或 Token )保存到瀏覽器的 LocalStorage 中,讓前端在每次向后端發(fā)送請求時,主動將 LocalStorage 的數(shù)據(jù)傳遞給服務(wù)端。這些都是由前端來控制的,后端需要做的僅僅是在用戶登錄成功后,將 Session ID (或 Token )放在響應(yīng)體中傳遞給前端。

      在這樣的場景下,單點(diǎn)登錄完全可以在前端實(shí)現(xiàn)。前端拿到 Session ID (或 Token )后,除了將它寫入自己的 LocalStorage 中之外,還可以通過特殊手段將它寫入多個其他域下的 LocalStorage 中。

      關(guān)鍵代碼如下:

      pIYBAGAY6qSAOlmYAACeeFqnF0Q316.jpg

      前端通過 iframe+postMessage() 方式,將同一份 Token 寫入到了多個域下的 LocalStorage 中,前端每次在向后端發(fā)送請求之前,都會主動從 LocalStorage 中讀取 Token 并在請求中攜帶,這樣就實(shí)現(xiàn)了同一份 Token 被多個域所共享。

      總結(jié):此種實(shí)現(xiàn)方式完全由前端控制,幾乎不需要后端參與,同樣支持跨域。

      補(bǔ)充:域名分級

      從專業(yè)的角度來說(根據(jù)《計(jì)算機(jī)網(wǎng)絡(luò)》中的定義),.com、.cn 為一級域名(也稱頂級域名),.com.cn、baidu.com 為二級域名,sina.com.cn、tieba.baidu.com 為三級域名,以此類推,N 級域名就是 N-1 級域名的直接子域名。

      從使用者的角度來說,一般把可支持獨(dú)立備案的主域名稱作一級域名,如 baidu.com、sina.com.cn 皆可稱作一級域名,在主域名下建立的直接子域名稱作二級域名,如 tieba.baidu.com 為二級域名。

      為了避免歧義,本人將使用“主域名“替代”一級域名“的說法。

      責(zé)任編輯:xj

      原文標(biāo)題:單點(diǎn)登錄的三種實(shí)現(xiàn)方式

      文章出處:【微信公眾號:Linux愛好者】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
      • 域名
        +關(guān)注

        關(guān)注

        0

        文章

        69

        瀏覽量

        11272
      • Cookie
        +關(guān)注

        關(guān)注

        0

        文章

        30

        瀏覽量

        10390

      原文標(biāo)題:單點(diǎn)登錄的三種實(shí)現(xiàn)方式

      文章出處:【微信號:LinuxHub,微信公眾號:Linux愛好者】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        功放地和數(shù)字地應(yīng)采用哪種方式?

        1、功放地和數(shù)字地應(yīng)采用哪種方式2、本人在電路設(shè)計(jì)中采用了單點(diǎn)接地方式,發(fā)現(xiàn)音箱時而有聲,時而無聲。經(jīng)測試發(fā)現(xiàn)功放在工作時,數(shù)字地和功放地之間很大的脈沖電壓。請問這種脈沖電壓干擾是
        發(fā)表于 10-25 09:17

        多點(diǎn)觸控和單點(diǎn)觸控哪個好

        多點(diǎn)觸控和單點(diǎn)觸控各有其優(yōu)缺點(diǎn),具體哪個更好取決于應(yīng)用場景和用戶需求。以下是對兩者的詳細(xì)比較:
        的頭像 發(fā)表于 10-21 15:36 ?214次閱讀

        多點(diǎn)觸控和單點(diǎn)觸控區(qū)別

         多點(diǎn)觸控和單點(diǎn)觸控是觸摸屏技術(shù)的兩種主要類型,它們在功能、應(yīng)用場景以及用戶體驗(yàn)等方面存在顯著差異。以下是對這兩種觸控技術(shù)的詳細(xì)比較:
        的頭像 發(fā)表于 10-21 15:35 ?267次閱讀

        交換機(jī)如何配置SSH遠(yuǎn)程登錄

        從事網(wǎng)絡(luò)運(yùn)維工作的小伙伴們都知道,在交換機(jī)正式上線時,必須完成配置SSH遠(yuǎn)程登錄,這樣做目的是為了日后,維護(hù)方便,不需要每次登錄設(shè)備都要跑到機(jī)房,這樣既不現(xiàn)實(shí),又費(fèi)事。
        的頭像 發(fā)表于 10-10 14:33 ?395次閱讀
        交換機(jī)如何配置SSH遠(yuǎn)程<b class='flag-5'>登錄</b>

        阻容耦合方式的優(yōu)點(diǎn)哪些

        利用電阻和電容元件實(shí)現(xiàn)信號傳輸?shù)?b class='flag-5'>方式。在阻容耦合電路中,信號通過電阻元件傳輸,而電容元件則起到耦合信號的作用。阻容耦合方式的基本電路結(jié)構(gòu)包括輸入電阻、耦合電容、輸出電阻和負(fù)載電容。 阻容耦合
        的頭像 發(fā)表于 08-09 15:32 ?425次閱讀

        Jtti:如何在服務(wù)器擴(kuò)展時避免單點(diǎn)故障?哪些常見的高可用性策略?

        服務(wù)器擴(kuò)展是組織應(yīng)對不斷增長的業(yè)務(wù)需求和數(shù)據(jù)負(fù)載的重要手段。然而,隨之而來的卻是更大規(guī)模的風(fēng)險(xiǎn),存在單點(diǎn)故障可能導(dǎo)致整個系統(tǒng)的宕機(jī),嚴(yán)重影響業(yè)務(wù)連續(xù)性和用戶體驗(yàn)。 避免單點(diǎn)故障的策略 冗余備份 在
        的頭像 發(fā)表于 07-18 16:02 ?169次閱讀

        wds的常用組網(wǎng)哪幾種?

        (Point-to-Point)模式 點(diǎn)對點(diǎn)模式是WDS中最常用的一種組網(wǎng)方式,主要用于實(shí)現(xiàn)兩個或多個無線設(shè)備之間的直接通信。在這種模式下,兩個無線設(shè)備之間建立一個無線鏈路,實(shí)現(xiàn)數(shù)據(jù)的傳輸。這種模式適用于兩個無線設(shè)備之間的距離較
        的頭像 發(fā)表于 07-18 09:52 ?557次閱讀

        信道均衡哪些實(shí)現(xiàn)方式

        信道均衡的實(shí)現(xiàn)方式主要包括線性自動應(yīng)均衡、盲均衡和半盲均衡等。這些方法各有特點(diǎn),選擇哪種方法取決于具體的應(yīng)用場景和性能要求。例如,如果信道變化較快,可能需要使用自適應(yīng)濾波器來實(shí)現(xiàn)實(shí)時的信道均衡。而在信道特性較為穩(wěn)定的環(huán)境中,線性
        的頭像 發(fā)表于 03-02 14:05 ?1287次閱讀

        共模扼流圈阻抗與繞線方式哪些?

        共模扼流圈阻抗與繞線方式哪些? 共模扼流圈是一種電子元件,主要用于抑制電路中的共模干擾。它通過實(shí)現(xiàn)電感耦合的方式,將共模信號強(qiáng)制繞過,從而起到濾波的作用。 共模扼流圈的阻抗與繞線
        的頭像 發(fā)表于 02-05 14:23 ?1041次閱讀

        【米爾-瑞薩RZ/G2UL開發(fā)板】1.網(wǎng)絡(luò)傳輸及多種登錄方式

        與開發(fā)板的網(wǎng)段一致,點(diǎn)擊確定就可以。 接下來打開終端,點(diǎn)擊新建節(jié)點(diǎn),選擇SSH,輸入開發(fā)板的IP地址,如下所示 接下來輸入開發(fā)板的登錄密碼,連接開發(fā)板 網(wǎng)卡登錄方式比較方便,可以直接進(jìn)行文件拖拽,修改
        發(fā)表于 01-21 15:59

        變阻器在電路中的連接方式哪些?

        變阻器在電路中的連接方式哪些? 變阻器是電子電路中常用的元件之一,在電路中有多種不同的連接方式。下面將詳細(xì)介紹變阻器的三種常見連接方式:串聯(lián)連接、并聯(lián)連接和可變連接。 1. 串聯(lián)連接
        的頭像 發(fā)表于 01-18 15:28 ?1212次閱讀

        單點(diǎn)液位傳感器與多點(diǎn)液位傳感器哪些不同呢?

        單點(diǎn)液位傳感器和多點(diǎn)液位傳感器的區(qū)別在于第一種是可以一個傳感器檢測一個液位,另外一個則可實(shí)現(xiàn)一個傳感器檢測多個液位,以此來適用于不同的應(yīng)用環(huán)境。
        的頭像 發(fā)表于 01-10 16:57 ?974次閱讀
        <b class='flag-5'>單點(diǎn)</b>液位傳感器與多點(diǎn)液位傳感器<b class='flag-5'>有</b>哪些不同呢?

        php加密方式哪些

        PHP加密方式許多種,以下是一些常用的加密方式: 對稱加密 對稱加密算法使用相同的密鑰進(jìn)行加密和解密。常見的對稱加密算法DES、3DES、AES。對稱加密算法的優(yōu)點(diǎn)是加密解密速度快
        的頭像 發(fā)表于 12-04 15:32 ?589次閱讀

        如何通過單點(diǎn)接地或者多點(diǎn)接地來消除噪聲?它們什么區(qū)別?

        如何通過單點(diǎn)接地或者多點(diǎn)接地來消除噪聲?它們什么區(qū)別? 單點(diǎn)接地和多點(diǎn)接地是兩種常見的方法,用于消除電子設(shè)備和電線系統(tǒng)中的噪聲問題。它們在原理和實(shí)施上存在一些區(qū)別。 單點(diǎn)接地是指將所
        的頭像 發(fā)表于 11-09 10:02 ?1247次閱讀

        BDD實(shí)現(xiàn)方式

        相信大部分的人都聽說過 BDD,即:行為驅(qū)動開發(fā),但并未涉及到它的使用方和項(xiàng)目實(shí)戰(zhàn)。 所以,本篇文章將大家全面了解 BDD 及實(shí)現(xiàn)方式,最后使用 Python BDD 框架落地到實(shí)際項(xiàng)目中去。 1.
        的頭像 發(fā)表于 11-01 11:08 ?601次閱讀
        BDD<b class='flag-5'>實(shí)現(xiàn)</b><b class='flag-5'>方式</b>