本文來自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/20545513,轉載請註明。
完全跨域的單點登錄實現方案基本和上篇文章介紹的一樣,只不過生成ticket的過程更復雜些。上篇文章中的項目是不能完全跨域的,由於多個應用系統以及認證系統域不同,也沒有共同的父域,導致登錄後,認證系統向瀏覽器寫的ticket在其它應用系統中獲取不到,這時訪問其它應用系統時,沒有攜帶着ticket的cookie,無法認證也無法單點登錄。那解決的方案是每個應用系統都向瀏覽器cookie中寫入ticket,請看下圖,圖中淺藍色圓角區域代表不同的域,當用戶通過瀏覽器第一次訪問應用系統1時,由於還沒有登錄,會被引導到認證系統進行登錄。下面開始單點登錄的過程:認證系統根據用戶在瀏覽器中輸入的登錄信息,進行身份認證,如果認證通過,返回給瀏覽器一個證明[認證系統_ticket];這時再通過瀏覽器將[認證系統_ticket]發送到到應用系統1的設置cookie的url,應用系統1返回給瀏覽器一個證明[應用系統1_ticket],這時再將請求重定向到最初訪問的頁面,以後應用系統1就可以自動登錄了。現在用戶訪問了應用系統2,由於應用系統2沒有生成過cookie(但是用戶已經在應用系統1登錄過一次了),將請求重定向到認證系統;認證系統檢測到已經生成過[認證系統_ticket]了,認證通過;再通過瀏覽器將[認證系統_ticket]發送到到應用系統2的設置cookie的url,應用系統2返回給瀏覽器一個證明[應用系統2_ticket],這時再將請求重定向到最初訪問的頁面。應用系統3也同樣原理,我們等於將ticket做了一次同步,保證了每個應用系統都有一份認證系統產生的ticket。剩餘的ticket驗證過程和上篇文章一樣了。![]()
三個域名都是獨立的,沒有共同父域,web1和web2用於訪問應用系統,passport用於訪問認證系統。
如果域名或端口號和我的不一致,可以修改對應配置項。最後部署到應用服務器中,啓動服務器。
互聯網中的完全跨域登錄的站點也有很多,如淘寶和天貓,但肯定不是我這樣實現的。我的實現中,認證系統和應用系統是通過url參數來傳遞ticket,可能存在一些不穩定因素。應用系統的每次請求都會通過HTTP遠程到認證系統進行驗證ticket,速度上應該會慢一些,這裏可以改進一步,在每個應用系統中也維護一份tickets,驗證時,首先到本系統中驗證,如果不存在,再遠程到認證系統進行驗證,但這也增加了應用系統的代碼量。本文完,如果有什麼問題,歡迎討論。
本文來自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/20545513,轉載請註明。
完全跨域的單點登錄實現方案基本和上篇文章介紹的一樣,只不過生成ticket的過程更復雜些。上篇文章中的項目是不能完全跨域的,由於多個應用系統以及認證系統域不同,也沒有共同的父域,導致登錄後,認證系統向瀏覽器寫的ticket在其它應用系統中獲取不到,這時訪問其它應用系統時,沒有攜帶着ticket的cookie,無法認證也無法單點登錄。那解決的方案是每個應用系統都向瀏覽器cookie中寫入ticket,請看下圖,圖中淺藍色圓角區域代表不同的域,當用戶通過瀏覽器第一次訪問應用系統1時,由於還沒有登錄,會被引導到認證系統進行登錄。下面開始單點登錄的過程:認證系統根據用戶在瀏覽器中輸入的登錄信息,進行身份認證,如果認證通過,返回給瀏覽器一個證明[認證系統_ticket];這時再通過瀏覽器將[認證系統_ticket]發送到到應用系統1的設置cookie的url,應用系統1返回給瀏覽器一個證明[應用系統1_ticket],這時再將請求重定向到最初訪問的頁面,以後應用系統1就可以自動登錄了。現在用戶訪問了應用系統2,由於應用系統2沒有生成過cookie(但是用戶已經在應用系統1登錄過一次了),將請求重定向到認證系統;認證系統檢測到已經生成過[認證系統_ticket]了,認證通過;再通過瀏覽器將[認證系統_ticket]發送到到應用系統2的設置cookie的url,應用系統2返回給瀏覽器一個證明[應用系統2_ticket],這時再將請求重定向到最初訪問的頁面。應用系統3也同樣原理,我們等於將ticket做了一次同步,保證了每個應用系統都有一份認證系統產生的ticket。剩餘的ticket驗證過程和上篇文章一樣了。
ticket同步的過程用jsonp應該也可以實現,我基於上篇文章中的項目實現了完全跨域的單點登錄,可以在這裏下載項目。
域名準備
修改hosts文件,映射3個域名:
- 127.0.0.1 web1.com
- 127.0.0.1 web2.com
- 127.0.0.1 passport.com
項目部署
項目中包含的是兩個Eclipse Project,導入到Eclipse/MyEclipse後,可能需要設置下JavaEE類庫。WebSSOAuth爲認證系統,WebSSODemo爲應用系統,如果映射的域名和我設置的一樣,不需要設置,直接部署即可。如果不一樣,需要修改下WebSSODemo/WEB-INF/web.xml文件。關鍵配置信息如下:
- <filter>
- <filter-name>SSOAuth</filter-name>
- <filter-class>com.ghsau.filter.SSOAuth</filter-class>
- <init-param>
- <!-- 認證系統服務 -->
- <param-name>SSOService</param-name>
- <param-value>http://passport.com:8080/WebSSOAuth/SSOAuth</param-value>
- </init-param>
- <init-param>
- <!-- 認證系統ticket名稱 -->
- <param-name>cookieName</param-name>
- <param-value>SSOID</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>SSOAuth</filter-name>
- <url-pattern>*.jsp</url-pattern>
- </filter-mapping>
- <filter-mapping>
- <filter-name>SSOAuth</filter-name>
- <url-pattern>/logout</url-pattern>
- </filter-mapping>
- <filter-mapping>
- <filter-name>SSOAuth</filter-name>
- <url-pattern>/setCookie</url-pattern>
- </filter-mapping>
SSO使用
首先輸入第一個應用系統的訪問地址,http://web1.com:8080/WebSSODemo/index.jsp,如果是第一次訪問的話,會自動跳轉到登錄頁,如下圖:
系統中內置了3個用戶,張三、李四、王五,用戶名和密碼皆爲拼音全拼,輸入zhangsan/zhangsan登錄後,會自動跳轉到我們剛纔訪問的頁面,頁面中顯示了登錄的用戶名及歡迎信息,如下圖:
這時,我們再輸入第二個應用系統的訪問地址,http://web2.com:8080/WebSSODemo/index.jsp,我們發現,沒有進行第二次登錄,同樣頁面中顯示了登錄的用戶名及歡迎信息,如下圖:
互聯網中的完全跨域登錄的站點也有很多,如淘寶和天貓,但肯定不是我這樣實現的。我的實現中,認證系統和應用系統是通過url參數來傳遞ticket,可能存在一些不穩定因素。應用系統的每次請求都會通過HTTP遠程到認證系統進行驗證ticket,速度上應該會慢一些,這裏可以改進一步,在每個應用系統中也維護一份tickets,驗證時,首先到本系統中驗證,如果不存在,再遠程到認證系統進行驗證,但這也增加了應用系統的代碼量。本文完,如果有什麼問題,歡迎討論。
本文來自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/20545513,轉載請註明。
