.net core实践系列之SSO-同域实现
前言
SSO的系列還是以.Net Core作為實踐例子與大家分享,SSO在Web方面復(fù)雜度分同域與跨域。本篇先分享同域的設(shè)計與實現(xiàn),跨域?qū)⒃谙缕c大家分享。
如有需要調(diào)試demo的,可把SSO項目部署為域名http://sso.cg.com/,Web1項目部署為http://web1.cg.com,http://web2.cg.com,可以減少配置修改量
源碼地址:https://github.com/SkyChenSky/Core.SSO
效果圖
SSO簡介
單點登錄,全稱為Single Sign On,在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。
它是一個解決方案,目的是為了整合企業(yè)內(nèi)多個應(yīng)用系統(tǒng),僅由一組賬號只需進行一次登錄,就可被授權(quán)訪問多個應(yīng)用系統(tǒng)。
流程描述
未登錄狀態(tài)訪問業(yè)務(wù)Web應(yīng)用會引導(dǎo)到認(rèn)證中心。
用戶在認(rèn)證中心輸入賬號信息通過登錄后,認(rèn)證中心會根據(jù)用戶信息生成一個具有安全性的token,將以任何方式持久化在瀏覽器。
此后訪問其他Web應(yīng)用的時候,必須攜帶此token進行訪問,業(yè)務(wù)Web應(yīng)用會通過本地認(rèn)證或者轉(zhuǎn)發(fā)認(rèn)證而對token進行校驗。
從上圖可以簡單的分析出三個關(guān)鍵點:
Token的生成
Token的共享
Token校驗
Token的生成
方式有多種:
可以通過Web框架對用戶信息加密成Token。
Token編碼方式也可以為JSON WEB TOKEN(JWT)
也可以是一段MD5,通過字典匹配保存在服務(wù)器用戶信息與MD5值
Token的共享
瀏覽器存儲有三種方式:
Cookie
容量4KB限制
過期時間
localStorage
容量5MB限制
生命周期永久
sessionStorage
容量5MB限制
生命周期當(dāng)前會話,關(guān)閉瀏覽器則失效
無法與服務(wù)端交互
作為擁有會失效的會話狀態(tài),更因選擇Cookie存儲。那么Cookie的使用是可以在同域共享的,因此在實現(xiàn)SSO的時候復(fù)雜度又分為同域與跨域。
同域的共享比較簡單,在應(yīng)用設(shè)置Cookie的Domain屬性進行設(shè)置,就可以完美的解決。
Token校驗
校驗分兩種情況:
轉(zhuǎn)發(fā)給認(rèn)證中心認(rèn)證
由誰授權(quán),就由誰進行身份認(rèn)證。授權(quán)與認(rèn)證是成對的。如果是以Cookie認(rèn)證,那就是服務(wù)端對token進行解密。如果是服務(wù)端保存用戶信息,則匹配token值。
業(yè)務(wù)應(yīng)用自身認(rèn)證
不需要轉(zhuǎn)發(fā),那就意味著業(yè)務(wù)應(yīng)用認(rèn)證規(guī)則與認(rèn)證中心的認(rèn)證規(guī)則必須是一致的。
設(shè)計要點
原則上來講,只要統(tǒng)一Token的產(chǎn)生和校驗方式,無論授權(quán)與認(rèn)證的在哪(認(rèn)證系統(tǒng)或業(yè)務(wù)系統(tǒng)),也無論用戶信息存儲在哪(瀏覽器、服務(wù)器),其實都可以實現(xiàn)單點登錄的效果。
此次使用.NET Core MVC框架,以Cookie認(rèn)證通過業(yè)務(wù)應(yīng)用自身認(rèn)證的方式進行同父域的SSO實現(xiàn)。
為什么要使用Cookie認(rèn)證方式?
1.會話狀態(tài)分布在客戶瀏覽器,避免大量用戶同時在線對服務(wù)端內(nèi)存容量的壓力。
2.橫向擴展良好性,可按需增減節(jié)點。
統(tǒng)一應(yīng)用授權(quán)認(rèn)證
將以Core的Cookie認(rèn)證進行實現(xiàn),那么意味著每個應(yīng)用對用戶信息的加解密方式需要一致。
因此對AddCookie的設(shè)置屬性DataProtectionProvider或者TicketDataFormat的加密方式進行重寫實現(xiàn)。
.NET Core的SSO實現(xiàn)
Cookie認(rèn)證
認(rèn)證中心AddCookie的設(shè)置
業(yè)務(wù)應(yīng)用AddCookie的設(shè)置
基于設(shè)計要點的“統(tǒng)一應(yīng)用授權(quán)認(rèn)證”這一點,兩者的區(qū)別不大,ticket的加密方式統(tǒng)一使用了AES,都指定Cookie.Domain =?".cg.com",保證了Cookie同域共享,設(shè)置了HttpOnly避免XSS攻擊。
兩者區(qū)別在于:
options.Events.OnRedirectToLogin = BuildRedirectToLogin; options.Events.OnSigningOut = BuildSigningOut;這是為了讓業(yè)務(wù)應(yīng)用引導(dǎo)跳轉(zhuǎn)到認(rèn)證中心登錄頁面。OnRedirectToLogin是認(rèn)證失敗跳轉(zhuǎn)。OnSigningOut是注銷跳轉(zhuǎn)。
登錄注銷
認(rèn)證中心與業(yè)務(wù)應(yīng)用兩者的登錄注冊基本一致。
HttpContext.SignInAsync的原理
使用的是Cookie認(rèn)證那么就是通過Microsoft.AspNetCore.Authentication.Cookies庫的CookieAuthenticationHandler類的HandleSignInAsync方法進行處理的。
源碼地址:https://github.com/aspnet/Security/blob/master/src/Microsoft.AspNetCore.Authentication.Cookies/CookieAuthenticationHandler.cs
從源碼我們可以分析出流程:
根據(jù)ClaimsPrincipal的用戶信息序列化后通過加密方式進行加密獲得ticket。(默認(rèn)加密方式是的KeyRingBasedDataProtecto。源碼地址:https://github.com/aspnet/DataProtection)
再通過之前的初始化好的CookieOption再AppendResponseCookie方法進行設(shè)置Cookie
最后通過Events.RedirectToReturnUrl進行重定向到ReturnUrl。
Ticket加密
兩種設(shè)置方式
CookieAuthenticationOptions.DataProtectionProvider
CookieAuthenticationOptions.TicketDataFormat
DataProtectionProvider
如果做了集群可以設(shè)置到共享文件夾,在第一個啟動的應(yīng)用則會創(chuàng)建如下圖的文件
options.DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"D:\sso\key"));TicketDataFormat
重寫數(shù)據(jù)加密方式,本次demo使用了是AES.
options.TicketDataFormat = new TicketDataFormat(new AesDataProtector());?結(jié)尾
以上為.NET Core MVC的同域SSO實現(xiàn)思路與細(xì)節(jié) 。因編寫demo的原因代碼復(fù)用率并不好,冗余代碼比較多,大家可以根據(jù)情況進行抽離封裝。下篇會繼續(xù)分享跨域SSO的實現(xiàn)。如果對本篇有任何建議與疑問,可以在下方評論反饋給我。
原文地址:https://www.cnblogs.com/skychen1218/p/9773466.html
.NET社區(qū)新聞,深度好文,歡迎訪問公眾號文章匯總 http://www.csharpkit.com
總結(jié)
以上是生活随笔為你收集整理的.net core实践系列之SSO-同域实现的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PEACHPIE 0.9.11 版本发布
- 下一篇: 开源硬件论坛,燃烧你的创造力