开发者社区> 黄威的世界> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

单点登录的一种常规方法

简介:
+关注继续查看

常规的登录

常规的是通过session
步骤:

  1. 用户在浏览器登录
  2. 后台鉴权,若登录成功,则把用户信息写入session,servlet自动生成JSESSIONID 返回浏览器;
  3. 浏览器把JSESSIONID 写入cookie
    说明:cookie是浏览器的存储文件,存储的只是JSESSIONID,而不是用户信息;

JSESSIONID 只是一个钩子,用户信息其实存储在服务器端.

比如我在浏览器登录之后,重新打开一个标签页,输入相同的地址,仍然是登录状态,因为标签页共享cookie.
也就是说我只要获取到JSESSIONID ,就可以获取用户隐私信息,比如除用户名以外的其他信息(密码,姓名,年龄等).也可以做一些敏感操作,比如修改密码

浏览器发送请求时会带上cookie
这样服务器端才知道是否登录过:
浏览器

例如,我获取到JSESSIONID 之后,使用HTTP模拟发送请求:
http请求模拟器

服务器端是如何判断是否登录

/***
     * 判断是否已登录
     * @param user2
     * @return
     */
    public static boolean isLogined(User user2,String loginFlag){
        if(ValueWidget.isNullOrEmpty(user2)||ValueWidget.isNullOrEmpty(user2.getUsername())
                ||loginFlag == null
                        ||( !loginFlag.equalsIgnoreCase(Constant2.FLAG_LOGIN_SUCCESS))){
            return false;
        }else{
            return true;
        }
    }

    /***
     * 判断是否已登录
     * @param session
     * @return
     */
    public static boolean isLogined(HttpSession session){
        String loginFlag = (String) session
                .getAttribute(Constant2.SESSION_KEY_LOGINED_FLAG);
        User user2 = (User) session.getAttribute(Constant2.SESSION_KEY_LOGINED_USER);
        return isLogined(user2,loginFlag);
    }

通过 cookie 实现单点登录

  1. 登录之前,会向服务器请求一个随机token,同时返回cookie,例如:
    CCC=63314c585041e889766fec6657879c; Expires=Mon, 21-Sep-2015 06:48:27 GMT; Path=/
  2. 登录时带上这个cookie(即CCC=63314c585041e889766fec6657879c)
  3. 服务器鉴权,登录成功之后,把登录凭证和CCC 绑定,
    即服务器可以通过CCC 判断是否登录,也可以通过CCC 获取用户敏感信息.

这样的话,只要登录过,用户不主动清除cookie,那就一直是登录状态.
如果用户主动清除了cookie,那就不是登录状态了
2019-03-06_22-35-38.jpg

详细流程,逻辑
2019-03-06_22-36-02.jpg
(1)登录前,浏览器先向认证服务器请求一个OTP,认证服务器返回OTP,同时返回一个cookie给浏览器;
(2)认证服务器把OTP 和CCC(cookie) 挂钩;
(3)登录时连同带上OTP
(4)若登录成功,则认证服务器返回登录凭证(access token)给浏览器;
(5)认证服务器把CCC 和登录凭证挂钩;
(6)通过CCC 可以判断用户是否有权限.

所以,
(a)可以通过CCC 获取登录凭证
(b)也可以通过OTP 获取登录凭证

根本原因:服务器把OTP 和CCC(cookie) 挂钩

那么CCC记在什么地方?
浏览器

获取OTP的接口返回:
OTP接口返回

效果:

A和B是同一个公司的应用,
在同一个浏览器中登录了应用A ,就可以在该浏览器中直接访问应用B,而不用重新登录.

具体实现原理:

1,登录之前访问 认证系统的动态口令接口,获取动态口令:auth_token
同时会返回cookie:CCC ,目的:把浏览器和 auth_token 挂钩
等浏览器访问其他应用时,把该CCC带过去.
2,登录时参数包括(1)中返回的auth_token ;
3,访问应用B 时,浏览器会把cookie中的CCC传过去,应用B 拿到之后,给认证系统认证,判断是否登录;
若认证通过,则返回用户信息
单点登录

认证系统

单点登录的目的

同一个公司的应用,只需要登录一次。
比如我登录了阿里云,再打开淘宝 ,天猫或钉钉就不用重复登录(输入用户名和密码)。

具体场景(Web)

image.png
小明登录了 Web应用A,再进入Web应用B时,不用重新输入用户名和密码,就自动登录了。

问题:应用A和应用B要拥有相同的父域名吗?

不用!!!
不用!!!
不用!!!
阿里云 和淘宝的域名就不一样

具体实现(基于 cookie)

otp :one time password 就是一次一密

认证中心接口

接口一:jsonp接口,获取 otp
请求方式:jsonp
获取 otp,同时可以判断是否已登录
http://auth.xxx.com/authentication/otp.jsonp?callbk=callbkMethod&clientId=应用的clientId

返回
{
"isLogined":true,
"otp":"433u23"
}

注意:jsonp 接口只需要 clientId,不需要 secret
接口二:使用 otp登录
请求方式:post
http://auth.xxx.com/authentication/login.json
/>参数:
username:
password:
otp:接口一获取的 otp
imgCode:图形验证码

返回:
{
"access_token":"",
"refresh_token":"",
"timeout":12000
...
}

接口三:opt 换取 access_token
请求方式:post
http://auth.xxx.com/authentication/token.json?secret=应用的secret&clientId=应用的clientId&opt=433u23
返回:
{
"access_token":"",
"refresh_token":"",
"timeout":12000
...
}

认证中心的作用

  1. 判断是否已登录;
  2. otp 换access_token

未登录-登录流程

image.png

应用 A 已经登录,访问应用 B 时

image.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
OAuth2实现单点登录SSO完整教程,其实不难!(中)
OAuth2实现单点登录SSO完整教程,其实不难!
52 0
单点登录的原理
单点登录的原理
77 0
单点登录(SSO)看这一篇就够了
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。
202706 0
基于颜色特性的目标识别方法
1.目标识别与定位 对基于视觉的机械臂控制来说,机器人视觉是一个非常重要的部分。机器人只有在视觉的指引下,才能获取目标的正确信息,从而控制机械臂完成指定任务。
1614 0
如何判断一个点在矩形内
http://blog.csdn.net/dapengbusi/article/details/50516126
1655 0
单点登录的三种实现方式
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。
1707 0
单点登录之,客户端
惯例: 我是温浩然: 单点登录的客户端配置,客户端不直接操作数据库,而是与其他项目相结合,对浏览器进行操作。 下面贴登录中,客户端的代码。 package com.tujia.tuuser.controller; import java.io.IOException; import java.util.Map; import javax.annotation.Resource;
1364 0
MySpace worm explanation
Technical explanation of The MySpace WormAlso called the "Samy worm" or "JS.
759 0
+关注
黄威的世界
我是一个热衷IT技术的人,希望自己不断地设计开发出对别人非常有用的软件。有近7年的java开发经验(包括2年Android开发经验)和一年左右的linux使用经验。擅长Java Web后台开发 ,喜欢研究新的各种实用技术
667
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载