https://zhuanlan.zhihu.com/p/153509344
https://developer.aliyun.com/article/636281
普通登录认证机制
image.png
- 完成登录后,session标记登录状态为yes状态,即已完成登录
- 浏览器端写入cookie,作为唯一标识
- 下一次在请求时,会使用cookie找到服务器中对应的session,判断是否登录状态
sso简介
sso:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统
image.png
其实sso分为同域和不同域下的单点登录,其中同域的简单介绍如下,详细介绍不同域下的,那才是真正的sso单点登录
同域单点登录
我们在设置Cookie时,只能设置顶域和自己的域,不能设置其他的域
一个企业一般情况下只有一个域名,通过二级域名区分不同的系统。比如我们有个域名叫做:a.com,同时有两个业务系统分别为:app1.a.com和app2.a.com。我们要做单点登录(SSO),需要一个登录系统,叫做:sso.a.com。
image.png
如图所示,只要我们在sso.a.com进行登录,就让app1.a.com和app2.a.com进行登录了,需要解决两个问题
- Cookie是不能跨域的,cookie的domain属性是sso.a.com,则在给app1.a.com和app2.a.com发送请求是带不上的
解决:sso登录后,将cookie的域设置为顶级域,即.a.com,这样所有子域都可以访问顶域的cookie - sso.a.com、app1.a.com和app2.a.com是不同应用,session不共享
解决:共享session的方案有很多,例如:Spring-Session
不同域单点登录
cookie不共享了
首次访问登录.png
访问a.com下的页面.png
访问b.com下的页面.png
- 用户访问网站 a.com 下的 pageA 页面。
- 由于没有登录,则会重定向到认证中心,并带上回调地址 www.sso.com?return_uri=a.com/pageA,以便登录后直接进入对应页面。
- 用户在认证中心输入账号密码,提交登录。
- 认证中心验证账号密码有效,然后重定向 a.com?ticket=123 带上授权码 ticket,并将认证中心 sso.com 的登录态写入 Cookie
- 在 a.com 服务器中,拿着 ticket 向认证中心确认,授权码 ticket 真实有效
- 验证成功后,将登录状态写入session,并设置a.com域下的Cookie(此时客户端有 2 个 Cookie 分别存有 a.com 和 sso.com 的登录态,
一般这个cookie和sso系统传回来的是一样的,然后使用整个cookie的信息,如果不一样就两个cookie合并成一个一起使用了)。
- 用户访问b.com系统,b.com系统没有登录,跳转到SSO。
- 由于SSO已经登录了,不需要重新登录认证
- sso生成ticket,浏览器跳转到b.com系统,并将ticket作为参数传递给b.com
- b.com拿到ticket,后台访问sso,验证ticket是否有效。
- 验证成功后,b.com将登录状态写入session,并在b.com域下写入Cookie
sso单点登录退出
在同一套认证中心的管理下,多个产品可以共享登录态。现在我们需要考虑退出了,即:在一个产品中退出了登录,怎么让其他的产品也都退出登录?
第5步,每一个产品在向认证中心验证 ticket 时,其实可以顺带将自己的退出登录 api 发送到认证中心。后续直接调用退出api
当某个产品 c.com 退出登录时:
- 清空 c.com 中的登录态 Cookie
- 请求认证中心 sso.com 中的退出 api
- 认证中心遍历下发过 ticket 的所有产品,并调用对应的退出 api,完成退出
网友评论