AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

图文并茂,为你揭开“单点登录“的神秘面纱

  • 2021-03-12
  • 本文字数:1806 字

    阅读完需:约 6 分钟

图文并茂,为你揭开“单点登录“的神秘面纱

概念


单点登录( Single Sign On ,简称 SSO),是目前比较流行的企业业务整合的解决方案之一,用于多个应用系统间,用户只需要登录一次就可以访问所有相互信任的应用系统。


前置介绍


  1. 同源策略 限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互,要求协议,端口和主机都相同。

  2. HTTP 用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是无状态协议,所以服务器单从网络连接上无从知道客户身份。那要如何才能识别客户端呢?给每个客户端颁发一个通行证,每次访问时都要求带上通行证,这样服务器就可以根据通行证识别客户了。最常见的方案就是 Cookie。

  3. Cookie 是客户端保存用户信息的一种机制,保存在客户机硬盘上。可以由服务器响应报文Set-Cookie的首部字段信息或者客户端 document.cookie来设置,并随着每次请求发送到服务器。子域名可以获取父级域名 Cookie。

  4. Session 其实是一个抽象概念,用于跟踪会话,识别多次 HTTP 请求来自同一个客户端。Cookie 只是通用性较好的一种实现方案,通常是设置一个名为 SessionID(名称可自定义,便于描述,本文均使用此名称)的 Cookie,每次请求时携带该 Cookie,后台服务即可依赖此 SessionID 值识别客户端。


单系统登录


在介绍单点登录之前,我们先来了解一下在浏览器中,访问一个需要登录的应用时主要发生的一系列流程,如下图所示:



以下为连环画形式,期望能让读者更好的理解:








依赖于登录后设置的 Cookie,之后每次访问时都会携带该 Cookie,从而让后台服务能识别当前登录用户。


题外话

后台是如何通过 SessionID 知道是哪个用户呢?

  1. 数据库存储关联:将 SessionID 与数据信息关联,存储在 Redis、Mysql 等数据库中;

  2. 数据加密直接存储:比如 JWT 方式,用户数据直接从 SessionID 值解密出来(此方式时 Cookie 名称以 Token 居多)。


多系统登录问题


同域名


当访问同域名下的页面时,Cookie 和单系统登录时一样,会正常携带,后台服务即可直接获取到对应的 SessionID 值,后台为单服务还是多服务无差别。


不同子域名


子域名间 Cookie 是不共享的,但各子域名均可获取到父级域名的 Cookie,即 app.demo.com与 news.demo.com均可以获取 demo.com域名下的 Cookie。所以可以通过将 Cookie 设置在父级域名上,可以达到子域名共享的效果,即当用户在 app.demo.com 域名下登录时,在demo.com域名下设置名为 SessionID 的 Cookie,当用户之后访问news.demo.com时,后台服务也可以获取到该 SessionID,从而识别用户。


完全不同域名


默认情况下,不同域名是无法直接共享 Cookie 的。


前端跨域带 Cookie


如果只是期望异步请求时获取当前用户的登录态,可以通过发送跨域请求到已经登录过的域名,并配置属性:


xhrFields: {  withCredentials: true}
复制代码


这样可在请求时携带目标域名的 Cookie,目标域名的服务即可识别当前用户。


但是,这要求目标域名的接口支持 CORS 访问(出于安全考虑,CORS 开启 withCredentials 时,浏览器不支持使用通配符*,需明确设置可跨域访问的域名名单)。


题外话

如果只是为了规避浏览器的限制,实现与通配*同样的效果,到达所有域名都可以访问的目的,可根据访问的 Referrer 解析请求来源域名,作为可访问名单。但是出于安全考虑,不推荐使用,请设置明确的可访问域名。


CAS


CAS(Central Authentication Service),即中央认证服务,是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法。


既然不能跨域获取,那 CAS 如何做到共享呢?它通过跳转中间域名的方式来实现登录。


页面访问流程如下图:



以下为连环画形式,期望能让读者更好的理解:





















其中需要关注以下 2 点:


  1. 所有的登录过程都依赖于 CAS 服务,包含用户登录页面、ST 生成、验证;

  2. 为了保证 ST 的安全性,一般 ST 都是随机生成的,没有规律性。CAS 规定 ST 只能保留一定的时间,之后 CAS 服务会让它失效,而且,CAS 协议规定 ST 只能使用一次,无论 ST 验证是否成功,CAS 服务都会清除服务端缓存中的该 ST,从而规避同一个 ST 被使用两次或被窃取的风险。


扩展阅读


其他相关的内容,也可以进行简单了解,如:单点登录退出 SLOOAuth2


参考文档


浏览器的同源策略

CAS 协议



头图:Unsplash

作者:余诺

原文:https://mp.weixin.qq.com/s/_AJf3B-HezUgtSh8gprKLw

原文:图文并茂,为你揭开“单点登录“的神秘面纱

来源:政采云前端团队 - 微信公众号 [ID:Zoo-Team]

转载:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

2021-03-12 23:065223

评论

发布
暂无评论
发现更多内容

软件测试|教你轻松玩转Python日期时间

霍格沃兹测试开发学社

X2RTC正式上线!抢先体验已开启

X2Rtc

开源 音视频 RTC

软件测试|Python删除列表元素的3种方法,你都会吗?

霍格沃兹测试开发学社

语音识别技术的应用及优化

数据堂

OP链质押挖矿系统开发源码搭建

l8l259l3365

软件测试|神操作!用 Python 操作 xmind 绘制思维导图

霍格沃兹测试开发学社

天翼云云电脑:IAAS基础设施带来的计算革新

天翼云开发者社区

云计算 云电脑

低代码平台技术分享官丨业务流那些事之单据追踪

inBuilder低代码平台

软件测试|Python神器logging,你真的了解吗?

霍格沃兹测试开发学社

智慧公厕建设的好处和意义?提高城市形象和吸引力的秘密武器

光明源智慧厕所

智慧厕所 智慧公厕

KDD 2023 | 蚂蚁“优化器三部曲”之 WSAM

AI Infra

人工智能 开发者 算法 优化器 KDD

与创新者同行!Apache Doris 首届线下峰会即将开启,最新议程公开!|即刻预约

SelectDB

数据库 大数据 数据仓库 数据分析 实时数仓

天翼云GPU云主机:共享信息技术与虚拟机的完美融合

天翼云开发者社区

云计算 云主机

06. 机器学习入门2 - 理解特征和向量

茶桁

人工智能 机器学习 特征向量

低代码助力企业数字化转型:实现高效应用开发与部署

互联网工科生

低代码 数字化

软件测试|最全的Python for循环和while循环使用介绍

霍格沃兹测试开发学社

软件测试|f-string格式化输出的这些用法,90%的Pythoner不知道

霍格沃兹测试开发学社

【深入MaxCompute】人力家:借助Information Schema合理治理费用

阿里云大数据AI技术

大数据

从技术角度聊聊2023年怎么入局小游戏赛道?

FN0

小游戏 小游戏开发 小游戏引擎 小游戏运营

软件测试|什么是Python函数及名称空间?

霍格沃兹测试开发学社

FaceFusion:探索无限创意,创造独一无二的面孔融合艺术!

汀丶人工智能

人工智能 深度学习 计算机视觉

软件测试|教你如何用Python获取昨天今天明天的日期

霍格沃兹测试开发学社

软件测试/测试开发丨App自动化—高级控件交互方法

测试人

Python 程序员 软件测试 自动化测试

语音识别技术的挑战与机遇

数据堂

软件测试|一篇文章教你SQL与NoSQL、数据库重要概念、SQL的基本语句

霍格沃兹测试开发学社

软件测试|pip命令,你真的会了吗?

霍格沃兹测试开发学社

通过Java Record提升代码质量:简洁而健壮的数据对象

树上有只程序猿

java 14 数据类型

FaceFusion:探索无限创意,创造独一无二的面孔融合艺术!

汀丶人工智能

人工智能 深度学习 计算机视觉 图像生成

软件测试|Python高手教你玩转 Excel 自动化

霍格沃兹测试开发学社

图文并茂,为你揭开“单点登录“的神秘面纱_文化 & 方法_政采云前端团队_InfoQ精选文章