|
單點(diǎn)登錄(SSO——Single Sign On)對(duì)于我們來說已經(jīng)不陌生了����。對(duì)于大型系統(tǒng)來說使用單點(diǎn)登錄可以減少用戶很多的麻煩。就拿百度來說吧���,百度下面有很多的子系統(tǒng)——百度經(jīng)驗(yàn)����、百度知道�����、百度文庫等等,如果我們使用這些系統(tǒng)的時(shí)候��,每一個(gè)系統(tǒng)都需要我們輸入用戶名和密碼登錄一次的話�����,我相信用戶體驗(yàn)肯定會(huì)直線下降���。當(dāng)然���,對(duì)于個(gè)人博客這類系統(tǒng)來說根本就用不上單點(diǎn)登錄了。
假如����,我們的系統(tǒng)很龐大,但是就是這一個(gè)系統(tǒng)��,并沒有什么子系統(tǒng)���。這時(shí)我們也不需要單點(diǎn)登錄�����。我們需要的是搭建集群環(huán)境����,這里雖說只有一個(gè)系統(tǒng)��,但是多臺(tái)主機(jī)負(fù)載均衡的話就涉及到session共享的問題了�。Session共享問題較之于SSO來說將比較容易解決了。
好���,我們不管不需要單點(diǎn)登錄的系統(tǒng)了����。題目中已經(jīng)標(biāo)明了SSO單點(diǎn)登錄的三種情況�,下面我們分別來介紹這三種情況。
在同一個(gè)域名下的不同站點(diǎn)是如何進(jìn)行驗(yàn)證的
我們知道���,PHP表單驗(yàn)證是完全依賴于Cookie的��。因此說��,如果兩個(gè)站點(diǎn)可以共享相同的驗(yàn)證Cookie�,這將很容易實(shí)現(xiàn)使用同一個(gè)用戶登錄多個(gè)站點(diǎn)���。
按照HTTP協(xié)議規(guī)定��,兩個(gè)站點(diǎn)是可以共享Cookie的�����。前提是這兩個(gè)站點(diǎn)是在同一個(gè)域名下面(或者是二級(jí)域名也可)�����。這種情況是屬于同域下的Cookie�����。瀏覽器會(huì)將Cookie以及該Cookie所屬的域存在本地�����。當(dāng)你對(duì)該域下的任何子站點(diǎn)進(jìn)行訪問的時(shí)候�����,瀏覽器都會(huì)將這些Cookie發(fā)送給站點(diǎn)系統(tǒng)�。
假設(shè)我們有兩個(gè)站點(diǎn)
www./site1
www./site2
這兩個(gè)站點(diǎn)共享同一個(gè)主機(jī)地址,并且二者在同一域名下��。加入你剛剛登錄了www./site1����,你的瀏覽器會(huì)有一個(gè)來自www./site1的身份鑒證的cookie。當(dāng)你點(diǎn)擊site1下的任何的子頁面的時(shí)候����,這些cookie都會(huì)發(fā)送給site1。這是很容易理解的�。同樣的,當(dāng)你請(qǐng)求www./site2的時(shí)候�����,對(duì)于site2下面的任何頁面這些cookie也同樣會(huì)隨著請(qǐng)求發(fā)送過去�����。為什么是這樣�,因?yàn)樵跒g覽器端存儲(chǔ)的cookie的域是www.。site1和site2兩個(gè)站點(diǎn)是同屬于該域的���。所以對(duì)于該域下的cookie��,兩個(gè)站點(diǎn)都可以得到�����。
這種情況����,如果系統(tǒng)是PHP的話我們根本不需要進(jìn)行什么特殊的處理。只需要按照正常的驗(yàn)證方式進(jìn)行驗(yàn)證即可���。因?yàn)槎叩膕essionId是相同的��,只要它們的session信息是保存在同一個(gè)地方即可����。
同一個(gè)域但是不同的子域如何進(jìn)行單點(diǎn)登錄
假如我們的站點(diǎn)是按照下面的域名進(jìn)行部署的
sub1.
sub2.
這兩個(gè)站點(diǎn)共享同一域��。
默認(rèn)情況下�,瀏覽器會(huì)發(fā)送cookie所屬的域?qū)?yīng)的主機(jī)。也就是說���,來自于sub1.的cookie默認(rèn)所屬的域是.sub1.��。因此��,sub2.不會(huì)得到任何的屬于sub1.的cookie信息�。因?yàn)樗鼈兪窃诓煌闹鳈C(jī)上面,并且二者的子域也是不同的���。
這種情況����,如果我們使用PHP來實(shí)現(xiàn)的話�����,可以設(shè)置二者的cookie信息在同一個(gè)域下�����。
第一 登錄sub1.系統(tǒng)
第二 登錄成功以后�����,設(shè)置cookie信息��。這里需要注意����,我們可以將用戶名和密碼存到cookie中���,但是在設(shè)置的時(shí)候必須將這cookie的所屬域設(shè)置為頂級(jí)域 .��。這里可以使用setcookie函數(shù)�����,該函數(shù)的第四個(gè)參數(shù)是用來設(shè)置cookie所述域的����。
setcookie(‘username’,’onmpw’,null,’.’);
setcookie(‘password’,’pwd’,null,’.’);
第三 訪問sub2.系統(tǒng),瀏覽器會(huì)將cookie中的信息username和password附帶在請(qǐng)求中一塊兒發(fā)送到sub2.系統(tǒng)���。這時(shí)該系統(tǒng)會(huì)先檢查session是否登錄��,如果沒有登錄則驗(yàn)證cookie中的username和password從而實(shí)現(xiàn)自動(dòng)登錄���。
第四 sub2. 登錄成功以后再寫session信息。以后的驗(yàn)證就用自己的session信息驗(yàn)證就可以了�。
當(dāng)然,先登錄sub2.的方式也是相同的���。經(jīng)過上面的步驟就可以實(shí)現(xiàn)不同二級(jí)域名的單點(diǎn)登錄了��。
但是��,這里存在一個(gè)問題就是sub1系統(tǒng)退出以后�,除了可以清除自身的session信息和所屬域?yàn)?的cookie的信息。它并不能清除sub2系統(tǒng)的session信息���。那sub2仍然是登錄狀態(tài)��。也就是說����,這種方式雖說可以實(shí)現(xiàn)單點(diǎn)登錄���,但是不能實(shí)現(xiàn)同時(shí)退出。原因是���,sub1和sub2雖說通過setcookie函數(shù)的設(shè)置可以共享cookie��,但是二者的sessionId是不同的���,而且這個(gè)sessionId在瀏覽器中也是以cookie的形式存儲(chǔ)的,不過它所屬的域并不是.�。也就是說二者的sessionId是不同的。
那如何解決這個(gè)問題呢����?我們知道���,對(duì)于這種情況,只要是兩個(gè)系統(tǒng)的sessionId相同就可以解決這個(gè)問題了����。也就是說存放sessionId的cookie所屬的域也是.。在PHP中�,sessionId是在session_start()調(diào)用以后生成的。要想使sub1和sub2有共同的sessionId�,那必須在session_start()之前設(shè)置sessionId所屬域。有兩種方式:
第一 使用php函數(shù)ini_set函數(shù)進(jìn)行如下設(shè)置
ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.');
ini_set('session.cookie_lifetime', '0');
第二 直接修改php.ini 文件
session.cookie_path = /
session.cookie_domain = '.'
session.cookie_lifetime = 0
經(jīng)過以上設(shè)置�,sub1和sub2系統(tǒng)就會(huì)使用相同的session信息了。這樣既可以實(shí)現(xiàn)單點(diǎn)登錄��,也可以實(shí)現(xiàn)同時(shí)退出��。
不同域之間如何實(shí)現(xiàn)單點(diǎn)登錄
假設(shè)我們需要在以下這些站之間實(shí)現(xiàn)單點(diǎn)登錄
www.onmpw1.com
www.onmpw2.com
www.onmpw3.com
對(duì)于這種情況�,我們有兩種實(shí)現(xiàn)方式,其中我們先來介紹實(shí)現(xiàn)比較簡單的方式���。
方式一
為了實(shí)現(xiàn)單點(diǎn)登錄���,當(dāng)用戶登錄其中的任何一個(gè)站點(diǎn)時(shí)�,我們需要針對(duì)其他每個(gè)站點(diǎn)在瀏覽器端設(shè)置cookie信息����。
如果用戶在onmpw1站點(diǎn)進(jìn)行登錄,登錄成功授權(quán)以后���,瀏覽器將會(huì)存儲(chǔ)一份兒onmpw1站點(diǎn)的cookie信息�。同時(shí)����,為了可以登錄onmpw2和onmpw3,我們需要在設(shè)置onmpw1的cookie的同事也對(duì)onmpw2和onmpw3進(jìn)行cookie設(shè)置��。因此在對(duì)onmpw1進(jìn)行響應(yīng)之前���,我們需要先跳轉(zhuǎn)到onmpw2和onmpw3站點(diǎn)去設(shè)置cookie信息。
下圖是對(duì)于兩個(gè)站點(diǎn)的單點(diǎn)登錄模型(三個(gè)的圖畫起來比較麻煩���,為了節(jié)省時(shí)間�,就用兩個(gè)來表示�����,但是原理是相同的)
此種情況的驗(yàn)證步驟是這樣的:
一、用戶向www.onmpw1.com(以下簡稱onmpw1)請(qǐng)求一個(gè)需要驗(yàn)證的頁面�����。
[狀態(tài): 瀏覽器還沒有驗(yàn)證的cookie信息]
二����、瀏覽器向onmpw1發(fā)送請(qǐng)求(該請(qǐng)求沒有cookie信息,因?yàn)樗€沒有存儲(chǔ)所屬域?yàn)閛nmpw1.com的cookie信息)�。
[狀態(tài): 瀏覽器還沒有驗(yàn)證的cookie信息]
三、onmpw1發(fā)現(xiàn)在請(qǐng)求中沒有帶cookie信息���,所以它將請(qǐng)求重定向到登錄頁面
[狀態(tài): 瀏覽器還沒有驗(yàn)證的cookie信息]
四����、用戶提交了登錄所需驗(yàn)證的信息并且點(diǎn)擊登錄按鈕��,瀏覽器發(fā)送一個(gè)post請(qǐng)求到onmpw1�。
[狀態(tài): 瀏覽器還沒有驗(yàn)證的cookie信息]
五、onmpw1收到提交的驗(yàn)證信息����,開始驗(yàn)證這些信息。如果驗(yàn)證成功��,則標(biāo)記該用戶已經(jīng)登錄。然后會(huì)創(chuàng)建帶有登錄用戶信息的cookie�����,并將其加入響應(yīng)信息中����。
[狀態(tài): 瀏覽器還沒有驗(yàn)證的cookie信息]
六、onmpw1暫時(shí)還不去響應(yīng)瀏覽器的請(qǐng)求��。這時(shí)它將會(huì)向?yàn)g覽器發(fā)送重定向到www.onmpw2.com(以下簡稱onmpw2)的命令��,并且還帶有在onmpw2站點(diǎn)需要返回的url地址�����,該地址為最初onmpw1中的���。因?yàn)閏ookie信息已經(jīng)在響應(yīng)信息中���,所以這個(gè)cookie也被發(fā)送給瀏覽器了�����。
[狀態(tài): 瀏覽器還沒有驗(yàn)證的cookie信息]
七、瀏覽器接收道帶有驗(yàn)證的cookie信息和重定向到onmpw2的命令的響應(yīng)信息以后�,將cookie信息的域設(shè)置為onmpw2存儲(chǔ)到本地,并且想onmpw2發(fā)送請(qǐng)求�����。這個(gè)請(qǐng)求中會(huì)帶有剛才的cookie信息���。
[狀態(tài):瀏覽器中已經(jīng)有所屬域?yàn)閛nmpw2的cookie信息]
八�、onmpw2立刻會(huì)重定向到需要返回的url地址��,并且通過讀取瀏覽器發(fā)送的cookie信息����,獲取到onmpw1的cookie。并將這cookie也一同發(fā)送給瀏覽器�����。
[狀態(tài):瀏覽器中已經(jīng)有所屬域?yàn)閛nmpw2的cookie信息]
九�����、瀏覽器在接受到這些信息以后�,會(huì)將所屬域?yàn)閛nmpw1的cookie存儲(chǔ)在本地����。并且再次向onmpw1發(fā)送一個(gè)帶有cookie信息的請(qǐng)求��。
[狀態(tài):瀏覽器中已經(jīng)有所屬域?yàn)閛nmpw2和onmpw1的cookie信息]
十�����、onmpw1接收到驗(yàn)證信息以后�,知道驗(yàn)證cookie已經(jīng)設(shè)置成功。此時(shí)onmpw1會(huì)返回相應(yīng)的請(qǐng)求界面��,而不再是登錄界面�。
[狀態(tài):瀏覽器中已經(jīng)有所屬域?yàn)閛nmpw2和onmpw1的cookie信息]
所以說,當(dāng)用戶再次訪問onmpw2的時(shí)候��,cookie信息已經(jīng)存儲(chǔ)到瀏覽器中了��。這時(shí)onmpw2會(huì)在cookie中讀取到登錄的用戶的信息�,然后提供相應(yīng)的界面給瀏覽器。
這樣�����,單點(diǎn)登錄就已經(jīng)設(shè)置成功了�����。在本例中�,按照上述步驟,登錄onmpw1以后���,onmpw2和onmpw3就可以同時(shí)實(shí)現(xiàn)登錄了��。
如何退出登錄
既然我們已經(jīng)實(shí)現(xiàn)了單點(diǎn)登錄�,但是我們還得考慮退出的問題���。既然是同時(shí)登錄的�����,那總不能在退出的時(shí)候一個(gè)一個(gè)的退出吧��!所以說我們還要設(shè)置單點(diǎn)退出��。
要想實(shí)現(xiàn)單點(diǎn)退出��,在本例中�����,我們需要做的是當(dāng)在一個(gè)站點(diǎn)退出的時(shí)候�����,其他兩個(gè)站點(diǎn)的cookie同樣也需要在瀏覽器中清除����。這樣才可以實(shí)現(xiàn)單點(diǎn)退出。
這樣其實(shí)也很簡單���,在理解了上述單點(diǎn)登錄的流程以后�,單點(diǎn)退出只是按照上面的步驟將設(shè)置驗(yàn)證cookie改成從響應(yīng)信息中移除cookie就可以實(shí)現(xiàn)了�����。
對(duì)于這種情況��,不管是單點(diǎn)登錄也好�����,還是單點(diǎn)退出���。都存在一個(gè)問題�,在本例中我們只是有三個(gè)站點(diǎn)。如果說我們整個(gè)系統(tǒng)有10個(gè)20個(gè)或者更多站點(diǎn)���,那像我們這樣來回的重定向會(huì)很影響效率。
方式二
接下來我們來介紹另一種方式�����。這種方式需要我們借助一個(gè)單獨(dú)的SSO服務(wù)�,專門做驗(yàn)證用����。而且我們還需要對(duì)于不同的站點(diǎn)的用戶要有一個(gè)統(tǒng)一的用戶數(shù)據(jù)�。相對(duì)于前一種方式——瀏覽器需要存儲(chǔ)每個(gè)站點(diǎn)的cookie——來說����,這種方式瀏覽器只需要存儲(chǔ)SSO服務(wù)站點(diǎn)的cookie信息。將這個(gè)cookie信息用于其他站點(diǎn)從而實(shí)現(xiàn)單點(diǎn)登錄���。我們暫且將這個(gè)SSO服務(wù)站點(diǎn)成為www.SSOsite.com(以下簡稱SSOsite)���。
在這種模型下���,針對(duì)任何站點(diǎn)的請(qǐng)求都將會(huì)先重定向到SSOsite去驗(yàn)證一個(gè)身份驗(yàn)證cookie是否存在。如果存在�,則驗(yàn)證過的頁面將會(huì)發(fā)送給瀏覽器。否則用戶將會(huì)被重定向到登錄頁面���。
為了理解此種方式�,現(xiàn)在假設(shè)我們來運(yùn)用這種模型實(shí)現(xiàn)以下兩個(gè)站點(diǎn)的單點(diǎn)登錄�。
www.onmpw1.com(以下簡稱onmpw1)
www.onmpw2.com(以下簡稱onmpw2)
并且我們還有一個(gè)專門用來進(jìn)行驗(yàn)證的服務(wù)站點(diǎn)www.SSOsite.com(以下簡稱SSOsite) 。
第一部分
實(shí)現(xiàn)流程
·用戶請(qǐng)求onmpw1的一個(gè)需要驗(yàn)證的頁面
·onmpw1向?yàn)g覽器發(fā)送重定向到SSOsite的命令���。并且在地址中添加一個(gè)返回地址(ReturnUrl)參數(shù)query string����,該參數(shù)的值就是最初向onmpw1請(qǐng)求的地址��。
·SSOsite會(huì)在請(qǐng)求中檢查是否有身份驗(yàn)證cookie���,或者任何用戶token��。沒有這些信息��,則會(huì)再次重定向到onmpw1����,在重定向到onmpw1中的請(qǐng)求中會(huì)帶有參數(shù)讓用戶登錄的url參數(shù)和最初的瀏覽器請(qǐng)求onmpw1的地址——ReturnUrl。
·onmpw1會(huì)檢測從SSOsite重定向來的請(qǐng)求的參數(shù)�。這時(shí)onmpw1了解到該用戶需要登錄,因此onmpw1會(huì)重定向到登錄界面�,并且通知瀏覽器該請(qǐng)求不用再重定向到SSOsite。
第二部分
·用戶提供了身份驗(yàn)證信息并且點(diǎn)擊了登錄按鈕?,F(xiàn)在不會(huì)再去重定向到SSOsite�����。這時(shí)����,onmpw1調(diào)用SSOsite 中的web/WCF服務(wù)去檢查用戶提供的身份驗(yàn)證信息。成功驗(yàn)證��,會(huì)將帶有token屬性的用戶對(duì)象返回給onmpw1�����。而這個(gè)token是每一次用戶登錄都會(huì)生成的����。
·onmpw1標(biāo)記用戶已經(jīng)登錄成功��,然后會(huì)生成一個(gè)URL地址�,該地址會(huì)帶有用戶token��,重定向到SSOsite����。
·SSOsite檢查收到的URL地址,會(huì)在其中發(fā)現(xiàn)用戶token���。通過該token可以知道用戶已經(jīng)成功登錄onmpw1了���,所以SSOsite需要準(zhǔn)備驗(yàn)證的cookie信息。因此���,它會(huì)使用token在緩存中取出用戶信息來生成cookie信息�,而且還會(huì)在cookie中設(shè)置一些其他的信息(例如過期時(shí)間等)�。然后把cookie加入到響應(yīng)信息中。最后重定向到最初的ReturnUrl地址����。同時(shí)token還是要被加在query string中帶過去的。
·瀏覽器得到重定向到onmpw1的命令����,并且從SSOsite中得到cookie信息����。因此瀏覽器將所屬域?yàn)镾SOsite的cookie保存在本地�����。然后帶著token去請(qǐng)求onmpw1��。
·現(xiàn)在onmpw1看到用戶token在query string 參數(shù)中���,然后會(huì)再次通過web/WCF服務(wù)去在SSOsite上驗(yàn)證token。驗(yàn)證成功以后會(huì)將最初剛開始請(qǐng)求的頁面發(fā)送給瀏覽器用于向用戶輸出��。
第三部分
·用戶現(xiàn)在去請(qǐng)求onmpw2�����。
·onmpw2重定向到SSOsite����,同樣設(shè)置ReturnUrl為剛開始請(qǐng)求的onmpw2的頁面地址。
·瀏覽器接收到重定向的命令以后�����,因?yàn)楸镜卮嬖赟SOsite的cookie,所以會(huì)cookie加到請(qǐng)求中發(fā)送給SSOsite�。
·SSOsite檢查接收到的請(qǐng)求中發(fā)現(xiàn)有cookie信息,首先會(huì)檢查該cookie信息是否過期�����,如果沒有過期���,將會(huì)從cookie中提取出用戶token�����。然后帶著token重定向到最初的onmpw2中的地址�����。
·onmpw2發(fā)現(xiàn)請(qǐng)求中有用戶token�����,然后他會(huì)通過SSOsite的web/WCF服務(wù)驗(yàn)證token的合法性�����。驗(yàn)證成功以后�,將最初瀏覽器請(qǐng)求onmpw2的頁面發(fā)送給瀏覽器用以向用戶輸出。
總結(jié)
哇哦�����,看起來有很多東西需要做����。其實(shí)并沒有那么復(fù)雜。
起初�����,瀏覽器沒有所屬域?yàn)镾SOsite的cookie信息���。因此無論是點(diǎn)擊任何站點(diǎn)的需要驗(yàn)證的界面都會(huì)跳轉(zhuǎn)到登錄頁(這個(gè)過程是由程序內(nèi)部重定向到SSOsite來檢查是否存在cookie的)。一旦用戶登錄成功�����,所屬域?yàn)镾SOsite的���,并且?guī)в械卿浻脩粜畔⒌腸ookie會(huì)被瀏覽器存儲(chǔ)在本地����。
然后,當(dāng)用戶再次訪問需要驗(yàn)證的頁面的時(shí)候����,同樣請(qǐng)求會(huì)在被重定向到SSOsite,并且瀏覽器會(huì)帶上先前已經(jīng)保存的cookie信息�。SSOsite檢索cookie,從中提取出用戶token�,并帶著這個(gè)token重定向到最初請(qǐng)求的站點(diǎn)頁面。然后該站點(diǎn)會(huì)通過web/WCF服務(wù)去驗(yàn)證token的合法性���。然后將相應(yīng)的頁面發(fā)送給客戶端���。
一旦用戶通過該單點(diǎn)登錄模型登錄到站點(diǎn)上,請(qǐng)求任何需要驗(yàn)證的頁面都會(huì)內(nèi)部重定向到SSOsite驗(yàn)證cookie和提取用戶token�,然后將請(qǐng)求的頁面發(fā)送給瀏覽器輸出。
本文比較長�,顯得有些啰嗦。但是總是希望過程能給大家講清楚�����。希望本文對(duì)大家有所幫助。
|
