专栏首页高爽的专栏完全跨域的单点登录

完全跨域的单点登录

完全跨域的单点登录实现方案基本和上篇文章介绍的一样,只不过生成ticket的过程更复杂些。上篇文章中的项目是不能完全跨域的,由于多个应用系统以及认证系统域不同,也没有共同的父域,导致登录后,认证系统向浏览器写的ticket在其它应用系统中获取不到,这时访问其它应用系统时,没有携带着ticket的cookie,无法认证也无法单点登录。那解决的方案是每个应用系统都向浏览器cookie中写入ticket,请看下图,图中浅蓝色圆角区域代表不同的域,当用户通过浏览器第一次访问应用系统1时,由于还没有登录,会被引导到认证系统进行登录。下面开始单点登录的过程:认证系统根据用户在浏览器中输入的登录信息,进行身份认证,如果认证通过,返回给浏览器一个证明[认证系统_ticket];这时再通过浏览器将[认证系统_ticket]发送到到应用系统1的设置cookie的url,应用系统1返回给浏览器一个证明[应用系统1_ticket],这时再将请求重定向到最初访问的页面,以后应用系统1就可以自动登录了。现在用户访问了应用系统2,由于应用系统2没有生成过cookie(但是用户已经在应用系统1登录过一次了),将请求重定向到认证系统;认证系统检测到已经生成过[认证系统_ticket]了,认证通过;再通过浏览器将[认证系统_ticket]发送到到应用系统2的设置cookie的url,应用系统2返回给浏览器一个证明[应用系统2_ticket],这时再将请求重定向到最初访问的页面。应用系统3也同样原理,我们等于将ticket做了一次同步,保证了每个应用系统都有一份认证系统产生的ticket。剩余的ticket验证过程和上篇文章一样了。

       ticket同步的过程用jsonp应该也可以实现,我基于上篇文章中的项目实现了完全跨域的单点登录,可以在这里下载项目。

域名准备

修改hosts文件,映射3个域名:

127.0.0.1 web1.com
127.0.0.1 web2.com
127.0.0.1 passport.com

       三个域名都是独立的,没有共同父域,web1和web2用于访问应用系统,passport用于访问认证系统。

项目部署

项目中包含的是两个Eclipse Project,导入到Eclipse/MyEclipse后,可能需要设置下JavaEE类库。WebSSOAuth为认证系统,WebSSODemo为应用系统,如果映射的域名和我设置的一样,不需要设置,直接部署即可。如果不一样,需要修改下WebSSODemo/WEB-INF/web.xml文件。关键配置信息如下:

<filter>
    <filter-name>SSOAuth</filter-name>
    <filter-class>com.ghsau.filter.SSOAuth</filter-class>
    <init-param>
        <!-- 认证系统服务 -->
    	<param-name>SSOService</param-name>
    	<param-value>http://passport.com:8080/WebSSOAuth/SSOAuth</param-value>
    </init-param>
    <init-param>
        <!-- 认证系统ticket名称 -->
    	<param-name>cookieName</param-name>
    	<param-value>SSOID</param-value>
    </init-param>
</filter>
<filter-mapping>
	<filter-name>SSOAuth</filter-name>
	<url-pattern>*.jsp</url-pattern>
</filter-mapping>
<filter-mapping>
	<filter-name>SSOAuth</filter-name>
	<url-pattern>/logout</url-pattern>
</filter-mapping>
<filter-mapping>
	<filter-name>SSOAuth</filter-name>
	<url-pattern>/setCookie</url-pattern>
</filter-mapping>

       如果域名或端口号和我的不一致,可以修改对应配置项。最后部署到应用服务器中,启动服务器。

SSO使用

       首先输入第一个应用系统的访问地址,http://web1.com:8080/WebSSODemo/index.jsp,如果是第一次访问的话,会自动跳转到登录页,如下图:

       系统中内置了3个用户,张三、李四、王五,用户名和密码皆为拼音全拼,输入zhangsan/zhangsan登录后,会自动跳转到我们刚才访问的页面,页面中显示了登录的用户名及欢迎信息,如下图:

       这时,我们再输入第二个应用系统的访问地址,http://web2.com:8080/WebSSODemo/index.jsp,我们发现,没有进行第二次登录,同样页面中显示了登录的用户名及欢迎信息,如下图:

       我们接着点击Logout注销用户,页面跳转到了登录页面,这时我们再回头访问第一个应用系统的页面,发现同样跳转到了登录页面。        互联网中的完全跨域登录的站点也有很多,如淘宝天猫,但肯定不是我这样实现的。我的实现中,认证系统和应用系统是通过url参数来传递ticket,可能存在一些不稳定因素。应用系统的每次请求都会通过HTTP远程到认证系统进行验证ticket,速度上应该会慢一些,这里可以改进一步,在每个应用系统中也维护一份tickets,验证时,首先到本系统中验证,如果不存在,再远程到认证系统进行验证,但这也增加了应用系统的代码量。本文完,如果有什么问题,欢迎讨论。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • IE中iframe跨域访问

    1      什么叫跨域?        指在A系统(第一方)中通过URL直接调用B系统(第三方),并且两个系统分别部署在不同的域内,简单的理解就是访问这两个系...

    高爽
  • Guava Collect

    Guava是什么 进入新公司就会接触一些新的东东,Guava就是一个,Guava是Google的一个开源类库,丰富了JDK的API,而且使用起来很方便,本文介绍...

    高爽
  • Why hashcode 31?

    前几天被人问到了hashcode如何实现,说实话,真的是没有自己写过,通常情况下都会通过IDE自动生成,惭愧。今天研究了下hashcode的生成原理,...

    高爽
  • python接口自动化(二十五)--unittest断言——下(详解)

      本篇还是回归到我们最初始的话题,想必大家都忘记了,没关系看这里:传送门 没错最初的话题就是登录,由于博客园的登录机制改变了,本篇以我找到的开源免费的登录...

    北京-宏哥
  • 不用P图软件,TensorFlow pix2pix也能帮你打造出六块腹肌!

    可视化结果是十分强大的。然而,在健身领域,要想清楚地看到未来的锻炼结果往往是很困难的。我们是否可以利用深度学习让人们更接近他们的个人健康目标,从而帮助他们设想未...

    AiTechYun
  • SSO入门

    SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映...

    若与
  • 从互联网+看中央经济工作会议

    孟昭莉 腾讯研究院首席经济学家,产业与经济研究中心主任   12月21日,中央经济工作会议落下帷幕。会议提出,要在适度扩大总需求的同时,提高供给体系质量和效...

    腾讯研究院
  • 云迁移工作的准备与实施

    尽管在进行云迁移之前可能需要快速采取行动,但现在应该是进行分析的时候了。组织需要检查系统的整体性,并确定哪些应用程序具有高业务价值和低业务价值。

    静一
  • Django实战-天气接口封装

    Django网络应用开发的5项基础核心技术包括模型(Model)的设计,URL 的设计与配置,View(视图)的编写,Template(模板)的设计和Form(...

    小团子
  • 你不知道的冷知识:JSON.stringify 居然还能这样用?

    JSON.stringify() 这个 API 想必大家都用过,可以帮助我们将数据解析成字符串类型,如下是个例子:

    前端达人

扫码关注云+社区

领取腾讯云代金券