码迷,mamicode.com
首页 > 其他好文 > 详细

程序员的自我救赎---3.2:SSO及应用案例

时间:2017-12-20 22:05:13      阅读:303      评论:0      收藏:0      [点我收藏+]

标签:isa   app   核心   manage   todo   pos   显示   targe   login   

《前言》

(一) Winner2.0 框架基础分析

(二)PLSQL报表系统

(三)SSO单点登录

(四) 短信中心与消息中心

(五)钱包系统

(六)GPU支付中心

(七)权限系统

(八)监控系统

(九)会员中心

(十) APP版本控制系统

(十一)Winner前端框架与RPC接口规范讲解

(十二)上层应用案例

(十三)总结

 

《SSO及应用案例》

先说说SSO(单点登录)这种产物是怎么来的? 场景是这样的假设一个大型应用平台(web)下面有几个模块比如:商城,机票,酒店。

我上商城时候我没有登录,则登录一下,而又从商城跳转到酒店,发现酒店没登录则又需要登录一下酒店网站。

这里人们就会想有没有,我在我当前域名下一处登录,就可以在当前域名(子域名)随处浏览以及操作,所以这时候就诞生了SSO。

 

SSO不单单解决了我们“一处登录,到处操作”的问题以外,还省去了我们每个项目开发登录模块的时间。SSO的基本原理如下:

 

技术分享图片

SSO虽然叫单点登录,但是我们更愿意叫他“统一登录中心”,因为的他的职责就是承担了所有的登录工作,虽然SSO在Web时代很盛行,但是在APP时代

就又有很大的不同了,这个我后面会讲到。这里先讲一下上面一张图中SSO 以及客户端分别是做了哪些事情

 

技术分享图片

 

 

 这里画的还是比较抽象,有几点可以说一下:

1,上图中应用里用Session存储用户信息,有的做法是用Cookie。这里用Session或Cookie都可以,但是Cookie本身存在客户端浏览器中,

    所以从安全性上来说不如Session,Cookie的优点是不会随浏览器的关闭而销毁,下次访问网站时可以无需登录。这里各取所需,我们从安全性

    上考虑说选择了用Session。

2,关于创建Ticket后将Ticket传给子站。Ticket叫做“令牌”,本身包含用户的基础信息(比如账号、用户名)还有子站要访问的页面地址,以及过期时间等等。

   Ticket要回传给子站有的是直接往SSO站的Cookie里面存,然后子站通过设置domain参数共享cookie读写。这个本身没有问题但是还是个第一点一样。

    把握好安全性就行。

3,图一我画的是用cookie的方式,尽管本地有用户信息(Ticket)但是为是安全还是要上SSO上请验证一下,登录是否过期。这种做法有的甚至每个页面都去

    请求SSO看是否有过期,过期了则退出登录,这个是根据业务需求的不同做的。比如邮箱,没操作一次授权时间加长10分钟,如果十分钟没有任何操作

     再操作的时候就被退出了。这个看具体应用,用法不同而已。

4,如果客户端(浏览器)禁用Cookie那Session是拿不到的。这个其实都知道每个浏览器的Session_Id不同,Session本身是键值对,但是唯一性标识

    不是Session的key,是Session_id,而session_id 是保存在浏览器的Cookie中的,其实就等于禁用了Cookie,Session也废了。

 

技术分享图片

 

============================华丽的分割线===================================

 

接下来要说重点了,其实在上一篇《理解Oauth2.0》中就讲到了很多和SSO类似的概念,其实两者本质是一样的。但是我们也可以

分开来看。我就更习惯分开来看,我的理解是这样的,我认为OAuth更关注的是“授权”,SSO则侧重是“登录”。

所以从概念上来说,OAuth的设计天生就不用去关注比如跨域这样的问题,SSO则更多是本平台下一站登录,随处操作。

 

前期我们Winner框架中是SSO来扩展OAuth,今年Jason重构了一个版本则是OAuth来兼任SSO。这里没有好坏技术高低之分,只是场景不同。

现在基本是一个APP的时代,所以SSO的功能被弱化了,更多时候我们使用APP就没有一个所谓的“一处登录,随处操作”的说法,就一个登录。

 

我们来看看Winner中的核心代码:

首先,我在前面讲《Winner.FrameWork.MVC》 的时候有说到,以前我们使用基类去验证用户是否登录,而现在我们使用更灵活的特性类去处理

技术分享图片

 

 我们Winner中特性类的验证最常用的是[AuthLogin] 和 [AuthRigth] 两者的不同在于 [AuthLogin] 只验证是否有登录,没有登录就去登录。

 意思就是说该页面所有人都有权限访问,前提是有注册。而[AuthRigth] 则不单单是验证了是否登录,还验证了是否有权限访问本页面。

关于权限那一块,在后面的文章中我再单独讲权限系统时再细讲。

 

我们重点来看一下[AuthLogin] 的核心代码:

using System;
using System.Collections.Generic;
using System.Dynamic;
using System.Linq;
using System.Net;
using System.Web;
using System.Web.Mvc;
using System.Xml;
using Winner.Framework.MVC.Attribute;
using Winner.Framework.MVC.GlobalContext;
using Winner.Framework.MVC.Models;
using Winner.Framework.MVC.Models.Account;
using Winner.Framework.Utils;

namespace Winner.Framework.MVC
{
    /// <summary>
    /// PC Web用户登陆检查
    /// </summary>
    public class AuthLoginAttribute : AuthorizationFilterAttribute
    {
        /// <summary>
        /// 实例化一个新的验证对象
        /// </summary>
        /// <param name="ignore">是否忽略检查</param>
        public AuthLoginAttribute(bool ignore = false)
            : base(ignore)
        {
        }

        /// <summary>
        /// 登陆验证
        /// </summary>
        /// <param name="context">当前上下文</param>
        protected override bool OnAuthorizationing(AuthorizationContext context)
        {
            //Ajax请求但又未登录时则返回信息
            if (!ApplicationContext.Current.IsLogined && base.ContextProvider.IsAjaxRequest)
            {
                OutputResult("未登录或者会话已过期,请重新登录!", 401);
                return false;
            }
            if (context.HttpContext.Session == null)
            {
                throw new Exception("服务器Session不可用!");
            }
            try
            {
                //调用提供者进行登陆
                ProviderManager.LoginProvider.Login();
            }
            catch (Exception ex)
            {
                Log.Error(ex);
                if (ex.InnerException != null)
                {
                    Log.Error(ex.InnerException);
                }
                OutputResult("登陆时出现系统繁忙,请稍后再试!", 401);
                return false;
            }


            //如果没有登陆则返回
            if (!ApplicationContext.Current.IsLogined)
            {
                OutputResult("未登录", 401);
                return false;
            }
            return true;
        }
    }
}

 

 我们看到一开始我们有base(ignore);这个我在前面的篇章中有讲到过,这个可以通过配置文件配置,目的是省去我们每个项目开发的时候都要去登录。

在配置文件中默认一个登录账号,这样调试时候能省很多时间。

我们判断的步骤是这样的:

第一步:如果用户是ajax请求,并且用户信息不存在的话直接返回false。这里是应对用户登录之后 用户长时间未操作造成用户信息过期失效

             因为我们的Winner框架基本都是Ajax请求,所以当两个条件都存在的时候就直接返回401错误。如果界面显示401则重新刷新一下,

             因为刷新就不是Ajax了,所以就会跳到登录页去登录。

第二步:判断Session是否可用,不可用就直接抛异常了,就是我上面说的禁用Session这种情况。

第三步:在ProviderManager.LoginProvider.Login(),我们才是做了具体的操作,我们看一下Login()代码:

   public void Login()
        {
            //检查是否有SSO站点POST过来的用户退出数据
            string str = HttpContext.Current.Request.Url.Query;
            if (str.Contains("logout"))
            {
                //TODO:退出本地登陆
                Logout();
                return;
            }
            //检查本地系统是否已登陆
            if (ApplicationContext.Current.IsLogined)
                return;

            //判断是否有配置自动登陆
            if (GlobalConfig.IsAutoLogin)
            {
                //代理登陆配置文件所配置的用户
                var autoResult = ApplicationContext.UserLogin(GlobalConfig.DefaultAutoLoginUserId, true);
                if (!autoResult.Success)
                {
                    throw new Exception(autoResult.Message);
                }
                HttpCookie cookie = new HttpCookie("ticket");
                cookie.Value = GlobalConfig.DefaultAutoLoginToken;
                HttpContext.Current.Response.AppendCookie(cookie);
                return;
            }

            //如果没有Ticket直接跳转到SSO进行检查
            int userId;
            if (!ApplicationContext.GetNodeIdByTicket(out userId))
            {
                SSOLogin();
                return;
            }
            Log.Debug("user_id={0}", userId);
            //登陆到本地系统
            var result = ApplicationContext.UserLogin(userId, false);
            if (!result.Success)
            {
                throw new Exception(result.Message);
            }
        }

 

  private void SSOLogin()
        {
            string service = HttpContext.Current.Request.Url.AbsoluteUri;
            service = Regex.Replace(service, @"\?ticket[^&]*.", "");
            string url = string.Concat(GlobalConfig.SSO_LoginURL, "?service=", HttpContext.Current.Server.UrlEncode(service));
            HttpContext.Current.Response.Redirect(url);
        }

 

这里ApplicationContext.Current.IsLogined为True的话,就是用户已经登录过了,登录过了就返回,IsLogined属性里面是判断了用户信息是否存在。

如果配置了自动登录,则装载自动登录的用户信息,从配置文件中读取。最后,上面判断都False的话,就跳到SSO系统去登录获取ticket。

 

===================================华丽的分割线===========================

 

下面就是SSO系统做的事情,SSO最基本的职责就是登录,首先就是登录界面。根据用户填写的账号密码判断用户是否注册,没有注册则注册。

说白了就是登录注册流程。用户在SSO登录成功之后则创建Session保存用户账号,然后生成一个ticket字符串。每个团队对于Ticket字符串的内容

都不太相同,但是大抵就是要请求界面的url,账户号,授权码这些。

 

当然子系统判断URL中有ticket值的时候,就将Ticket 写入子项目的Session,其实我们会有一个UserInfo的基础对象,这个Userinfo是一个用户信息的model。

这个是根据Ticket带过来用户账户再到数据库查了一次的。

 

Jason重构一次SSO,方式上有点变动,更多的是采用Oauth2.0的方式。不清楚Oauth的可以看我上篇文章《理解Oauth2.0》

这里我公开一下我们SSO项目的源码,所以我就不一一的贴出来了。有兴趣的朋友可以自己看代码不懂的可以在QQ群里咨询。

 

SSO登录中心GitHub下载地址:https://github.com/demon28/OAuth2.git

 

就写到这里。有兴趣一起探讨Winner框架的可以加我们QQ群:261083244。或者扫描左侧二维码加群。

 

程序员的自我救赎---3.2:SSO及应用案例

标签:isa   app   核心   manage   todo   pos   显示   targe   login   

原文地址:http://www.cnblogs.com/demon28/p/8058662.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!