现在有多个 WebApp,想用最小的代价实现 SSO 单点登录。所谓最小代价,我的理解就是对原有 WebApp 的改动最小,因此
- 在旁路增加一个 SsoWebApp 用于管理 SSO 的账号,进行身份认证后实现跳转原有 WebApp;
- 保留原有 WebApp 登录方式不做修改,增加一个单独的 sso 登录接口实现从 Ssoweb App 跳转登录。
具体的登录流程如下:
用户首先在 SsoWebApp 中完成登录,再通过链接清单,选择要跳转的目标 WebApp 的 sso 接口,为方便通过超级链接跳转,建议这个接口使用 GET 方式,当然要用 POST 方式也是可以的。
跳转链接示例
http://WebApp1/sso?token=eyJ1aWQiOiIxMjM0NTYiLCAiZXhwaXJlIjoiMjAyMjA3MTUiLCAic2FsdCI6IjlENDdDRTI3LTU1MzEtNDRENS05QUUxLTVEMUQ3OUU2QUZFOCJ9
这里 token 的明码采用 json 描述
{ "uid":"123456", //用户账号 "expire":"20220715235900", //token 有效期 "salt":"9D47CE27-5531-44D5-9AE1-5D1D79E6AFE8" //其他数据 }
为防止 token 被纂改,可使用 RSA 私钥签名后 Base64 编码。
当 WebApp 的 sso 接口接收 token 后调用 SsoWebApp 的公钥解密方法还原出 json 进行判断
if (当前WebApp内存在(uid) && expire >= 当前时刻) 调用 WebApp 自己的登录验证方式,完成对 uid 的身份认证,进行正常的页面跳转 end if
要实现以上登录流程,旁路的 SsoWebApp 需要实现
- 用户账户的 CURD UI, 关键字段 uid, password
- 用户账户下 SSO 记录的 CURD UI,关键字段 uid, appName, ssoUrl
- 用户登录 UI 和显示可用 SSO 站点列表 UI(跳转链接)
- WebAPI 接口,提供公钥解密方法
以上 SSO 登录方案存在的一个不足,是用户在 SsoWebApp 的退出操作无法联动 WebApp 退出,反之亦然。
因为要实现登出联动,不可避免地需要改造 WebApp 的原有登出接口,可以实现只不过需要花费额外的代价了。