前些天一位朋友要我?guī)兔ψ鲆粏吸c(diǎn)登錄�,其實(shí)這個(gè)概念早已耳熟能詳��,但實(shí)際應(yīng)用很少�����,難得最近輕閑���,于是決定通過(guò)本文來(lái)詳細(xì)描述一個(gè)SSO解決方案��,希望對(duì)大家有所幫助���。SSO的解決方案很多�,但搜索結(jié)果令人大失所望�,大部分是相互轉(zhuǎn)載����,并且描述的也是走馬觀花。
閑話少敘����,進(jìn)入正題��,我的想法是使用集中驗(yàn)證方式���,多個(gè)站點(diǎn)集中Passport驗(yàn)證�����。 如下圖所示:
為方便清晰描述����,先定義幾個(gè)名詞,本文中出現(xiàn)之處均為如下含義���。
主站:Passport集中驗(yàn)證服務(wù)器 http://www.passport.com/ 。
分站:http://www.a.com/、http://www.b.com/���、http://www.c.com/
憑證:用戶登錄后產(chǎn)生的數(shù)據(jù)標(biāo)識(shí)�����,用于識(shí)別授權(quán)用戶���,可為多種方式�����,DEMO中主站我使用的是Cache�����,分站使用Session。
令牌:由Passport頒發(fā)可在各分站中流通的唯一標(biāo)識(shí)。
OK,現(xiàn)在描述一下單點(diǎn)登錄的過(guò)程:
情形一、匿名用戶:匿名用戶訪問(wèn)分站a上的一個(gè)授權(quán)頁(yè)面�,首先跳轉(zhuǎn)到主站讓用戶輸入帳號(hào)、密碼進(jìn)行登錄�����,驗(yàn)證通過(guò)后產(chǎn)生主站憑證�����,同時(shí)產(chǎn)生令牌�,跳轉(zhuǎn)回分站a����,此時(shí)分站a檢測(cè)到用戶已持有令牌,于是用令牌再次去主站獲取用戶憑證,獲取成功后允許用戶訪問(wèn)該授權(quán)頁(yè)面�����。同時(shí)產(chǎn)生分站a的本地憑證,當(dāng)該用戶需要再次驗(yàn)證時(shí)將先檢查本地憑證����,以減少網(wǎng)絡(luò)交互�����。
情形二����、在分站a登錄的用戶訪問(wèn)分站b:因?yàn)橛脩粼诜终綼登錄過(guò),已持有令牌��,所以分站b會(huì)用令牌去主站獲取用戶憑證,獲取成功后允許用戶訪問(wèn)授權(quán)頁(yè)面�����。同時(shí)產(chǎn)生分站b的本地憑證�����。
設(shè)計(jì)完成后���,接下來(lái)是方案實(shí)現(xiàn)的一些關(guān)鍵點(diǎn):
令牌:令牌由主站頒發(fā)���,主站頒發(fā)令牌同時(shí)生成用戶憑證���,并記錄令牌與用戶憑證之間的對(duì)應(yīng)關(guān)系,以根據(jù)用戶提供的令牌響應(yīng)對(duì)應(yīng)的憑證�;令牌要在各跨域分站中進(jìn)行流通,所以DEMO中令牌我使用主站的Cookie����,并指定Cookie.Domain="passport.com"�。各分站如何共享主站的Cookie?從分站Redirect到主站頁(yè)面���,然后該頁(yè)面讀取Cookie并以URL參數(shù)方式回傳即可���,可在DEMO代碼中查看詳細(xì)實(shí)現(xiàn)���,當(dāng)然如果哪位有更好的令牌實(shí)現(xiàn)方式也拿出來(lái)分享。
復(fù)制代碼 代碼如下:
//產(chǎn)生令牌
string tokenValue = Guid.NewGuid().ToString().ToUpper();
HttpCookie tokenCookie = new HttpCookie("Token");
tokenCookie.Values.Add("Value", tokenValue);
tokenCookie.Domain = "passport.com";
Response.AppendCookie(tokenCookie);
主站憑證:主站憑證是一個(gè)關(guān)系表�����,包含了三個(gè)字段:令牌�����、憑證數(shù)據(jù)�、過(guò)期時(shí)間。有多種實(shí)現(xiàn)方式可供選擇����,要求可靠的話用數(shù)據(jù)庫(kù)����,要求性能的話用Cache�,DEMO中我使用的是Cache中的DataTable。如下代碼所示:
復(fù)制代碼 代碼如下:
/// summary>
/// 初始化數(shù)據(jù)結(jié)構(gòu)
/// /summary>
/// remarks>
/// ----------------------------------------------------
/// | token(令牌) | info(用戶憑證) | timeout(過(guò)期時(shí)間) |
/// |--------------------------------------------------|
/// /remarks>
private static void cacheInit()
{
if (HttpContext.Current.Cache["CERT"] == null)
{
DataTable dt = new DataTable();
dt.Columns.Add("token", Type.GetType("System.String"));
dt.Columns["token"].Unique = true;
dt.Columns.Add("info", Type.GetType("System.Object"));
dt.Columns["info"].DefaultValue = null;
dt.Columns.Add("timeout", Type.GetType("System.DateTime"));
dt.Columns["timeout"].DefaultValue = DateTime.Now.AddMinutes(double.Parse(System.Configuration.ConfigurationManager.AppSettings["timeout"]));
DataColumn[] keys = new DataColumn[1];
keys[0] = dt.Columns["token"];
dt.PrimaryKey = keys;
//Cache的過(guò)期時(shí)間為 令牌過(guò)期時(shí)間*2
HttpContext.Current.Cache.Insert("CERT", dt, null, DateTime.MaxValue, TimeSpan.FromMinutes(double.Parse(System.Configuration.ConfigurationManager.AppSettings["timeout"]) * 2));
}
}
分站憑證:分站憑證主要用于減少重復(fù)驗(yàn)證時(shí)網(wǎng)絡(luò)的交互��,比如用戶已在分站a上登錄過(guò)�,當(dāng)他再次訪問(wèn)分站a時(shí)�����,就不必使用令牌去主站驗(yàn)證了���,因?yàn)榉终綼已有該用戶的憑證。分站憑證相對(duì)比較簡(jiǎn)單�����,使用Session����、Cookie均可�。
分站SSO頁(yè)面基類:分站使用SSO的頁(yè)面會(huì)做一系列的邏輯判斷處理���,如文章開(kāi)頭的流程圖����。如果有多個(gè)頁(yè)面的話不可能為每個(gè)頁(yè)寫一個(gè)這樣的邏輯,OK����,那么把這套邏輯封裝成一個(gè)基類,凡是要使用SSO的頁(yè)面繼承該基類即可。如下代碼所示:
復(fù)制代碼 代碼如下:
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Text.RegularExpressions;
namespace SSO.SiteA.Class
{
/// summary>
/// 授權(quán)頁(yè)面基類
/// /summary>
public class AuthBase : System.Web.UI.Page
{
protected override void OnLoad(EventArgs e)
{
if (Session["Token"] != null)
{
//分站憑證存在
Response.Write("恭喜,分站憑證存在�����,您被授權(quán)訪問(wèn)該頁(yè)面!");
}
else
{
//令牌驗(yàn)證結(jié)果
if (Request.QueryString["Token"] != null)
{
if (Request.QueryString["Token"] != "$Token$")
{
//持有令牌
string tokenValue = Request.QueryString["Token"];
//調(diào)用WebService獲取主站憑證
SSO.SiteA.RefPassport.TokenService tokenService = new SSO.SiteA.RefPassport.TokenService();
object o = tokenService.TokenGetCredence(tokenValue);
if (o != null)
{
//令牌正確
Session["Token"] = o;
Response.Write("恭喜,令牌存在��,您被授權(quán)訪問(wèn)該頁(yè)面���!");
}
else
{
//令牌錯(cuò)誤
Response.Redirect(this.replaceToken());
}
}
else
{
//未持有令牌
Response.Redirect(this.replaceToken());
}
}
//未進(jìn)行令牌驗(yàn)證����,去主站驗(yàn)證
else
{
Response.Redirect(this.getTokenURL());
}
}
base.OnLoad(e);
}
/// summary>
/// 獲取帶令牌請(qǐng)求的URL
/// 在當(dāng)前URL中附加上令牌請(qǐng)求參數(shù)
/// /summary>
/// returns>/returns>
private string getTokenURL()
{
string url = Request.Url.AbsoluteUri;
Regex reg = new Regex(@"^.*\?.+=.+$");
if (reg.IsMatch(url))
url += "Token=$Token$";
else
url += "?Token=$Token$";
return "http://www.passport.com/gettoken.aspx?BackURL=" + Server.UrlEncode(url);
}
/// summary>
/// 去掉URL中的令牌
/// 在當(dāng)前URL中去掉令牌參數(shù)
/// /summary>
/// returns>/returns>
private string replaceToken()
{
string url = Request.Url.AbsoluteUri;
url = Regex.Replace(url, @"(\?|)Token=.*", "", RegexOptions.IgnoreCase);
return "http://www.passport.com/userlogin.aspx?BackURL=" + Server.UrlEncode(url);
}
}//end class
}
用戶退出:用戶退出時(shí)分別清空主站憑證與當(dāng)前分站憑證。如果要求A站點(diǎn)退出�,B���、C站點(diǎn)也退出,可自行擴(kuò)展接口清空每個(gè)分站憑證���。
主站過(guò)期憑證/令牌清除:定時(shí)清除(DataTable)Cache[“CERT”]中timeout字段超過(guò)當(dāng)前時(shí)間的記錄���。
您可能感興趣的文章:- asp.net BasePage類+Session通用用戶登錄權(quán)限控制
- ASP.NET中在一般處理程序中使用session的簡(jiǎn)單介紹
- ASP.NET Session使用詳解
- asp.net(c#)有關(guān) Session 操作的幾個(gè)誤區(qū)
- ASP.NET登錄注冊(cè)頁(yè)面實(shí)現(xiàn)
- 一款經(jīng)典的ajax登錄頁(yè)面 后臺(tái)asp.net
- ASP.NET MVC5網(wǎng)站開(kāi)發(fā)用戶登錄、注銷(五)
- .net MVC使用Session驗(yàn)證用戶登錄(4)
