网站改版的费用,网站排名张家港,怎么做网页快捷方式,自己做的网站竞价好还是单页好关于其他前端常见登录实现单点登录方案#xff0c;请见「前端常见登录实现方案 单点登录方案 」 前沿
单点登录#xff08;SSO#xff09;#xff0c;英文全称为 Single Sign On。 SSO 是指在多个应用系统中#xff0c;用户只需要登录一次#xff0c;就可以访问所有相互… 关于其他前端常见登录实现单点登录方案请见「前端常见登录实现方案 单点登录方案 」 前沿
单点登录SSO英文全称为 Single Sign On。 SSO 是指在多个应用系统中用户只需要登录一次就可以访问所有相互信任的应用系统。
一般同域的SSO用共享session就可以实现了常见于各微服务都是自己开发的情况。更普遍的场景是跨域集成的SSO这时候一般采用标准的CAS方案。
IDP SSO 服务用于解决同一公司不同业务应用之间的身份认证问题只需要登录一次即可访问所有添加的应用。此服务可以涵盖用户在公有云和私有云中的双重需求。
几个名词 TGT Ticket Granting Ticket这是CAS Server里保存的用于认证用户已经在CAS登录过 TGC Ticket Granting Cookie跟上面的TGT对应是已经认证过的用户在浏览器里保存的cookie ST Service Ticket这是CAS Server发给应用服务器的凭证应用服务器再用ST到CAS Server认证 Authentication 【认证】即确认该用户的身份是他所声明的那个人 Authorization【授权】即根据用户身份授予他访问特定资源的权限 CAS认证 Central Authentication Service简称CAS是一种常见的B/S架构的SSO协议。和其他任何SSO协议一样用户仅需登陆一次访问其他应用则无需再次登陆。 CAS是一种仅用于Authentication【认证】的服务它和OAuth/OIDC协议不一样并不能作为一种Authorization【授权】的协议。 当前CAS协议包括CAS 1.0、CAS2.0、CAS3.0版本这三个版本的认证流程基本类似。 下面一个标准的CAS认证流程图 大致流程 当用户请求应用服务器提供的某个服务abc如果没有登录过那么会返回一个302跳转到 cas/login?serviceabc在CAS登录后又会302到abc?ticketSTxxxxx这里abc就是前面service填的地址应用服务器用这个ticket到CAS Server认证如果OK的话再一次302到abc完成整个认证过程 IDP 全流程前后端分离的场景
现在web应用一般采用前后端分离的架构通过ajax请求后端服务这样会无法跳转回原来的静态页面需要对原有的CAS流程的稍加改造下面是一个基于CAS实现的IDP系统的完整流程。 应用A 通过 IDP登录 阐述 IDP 发起的单点登录流程 用户访问应用A页面如http://a.com/item应用A向A后端请求接口如http://a.com/api/itemA后端检测登录状态若该用户已登录直接跳至步骤15. 正常访问未登录则返回状态码403跳转链接如http://idp.com应用A携带 target_url 重定向到 IDP 登录页面如http://idp.com?callbacka.com/item用户在IDP中输入 IDP 的登录手机号并请求验证码IDP前端向IDP后端服务请求验证码接口如http://idp.com/api/codeIDP后端别用户手机发送验证码用户填写验证码并登录IDP前端向IDP后端服务请求登录接口如http://idp.com/api/sessionIDP后端认证通过后会生成 TGCST返回给IDP前端IDP前端 302 跳转到应用A页面到 SSO URL 地址 redirect_uri并携带ST如http://a.com/item?stxxx应用A页面通过url中的st向应用A后端去认证登录应用A后端再去IDP后端认证登录状态如http://idp.com/profile?stIDP后端认证通过后向应用A后端返回用户的信息应用A后端拿到用户信息生成 Token并返回给应用A前端保存最终用户查看到之前访问的应用A前端如http://a.com/item IDP登录成功应用B 通过 IDP直接登录 阐述IDP登录成功应用B 通过 IDP直接单点登录流程 【大致步骤同应用A 通过 IDP登录只是少了IDP登录认证的几步】 用户访问应用B页面如http://b.com/item应用B向B后端请求接口如http://b.com/api/itemB后端检测登录状态若该用户已登录直接正常访问未登录则返回状态码403跳转链接如http://idp.com应用B携带 target_url 重定向到 IDP 登录页面如http://idp.com?callbackb.com/itemIDP前端通过session获取TGC向IDP后端服务换取STIDP后端认证通过后向IDP前端返回STIDP前端 302 跳转到应用B页面到 SSO URL 地址 redirect_uri并携带ST如http://b.com/item?stxxx应用B页面通过url中的st向应用B后端去认证登录应用B后端再去IDP后端认证登录状态如http://idp.com/profile?stIDP后端认证通过后向应用B后端返回用户的信息应用B后端拿到用户信息生成 Token并返回给应用B前端保存最终用户查看到之前访问的应用B前端如http://b.com/item 应用退出登录IDP退出所有平台都退出登录 阐述应用退出登录IDP单点退出登录流程 用户访问应用A页面点击退出登录如http://a.com/logout应用A向A后端请求退出登录接口如http://a.com/api/logoutA后端向IDP后端发送退出登录请求注销全部TGCSTIDP后端向所有应用后端告知退出事件如http://a.com/callback、http://b.com/callback 小结
注意我们需要对redirect_uri做部分定制并encoding
至此基于CAS实现的前后端分离的SSO系统开发完毕。如果对流程有问题欢迎大家讨论
