.net core实践系列之SSO-跨域实现

简介: .net core实践系列之SSO-跨域实现

前言


接着上篇的《.net core实践系列之SSO-同域实现》,这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践,但是核心点使用jquery居多。


建议看这篇文章的朋友可以先看上篇《.net core实践系列之SSO-同域实现》做一个SSO大概了解。


源码地址:https://github.com/SkyChenSky/Core.SSO.git


效果图


488722-20181018172353136-313352697.gif


知识点回顾


实现原则


只要统一Token的产生和校验方式,无论授权与认证的在哪(认证系统或业务系统),也无论用户信息存储在哪(浏览器、服务器),其实都可以实现单点登录的效果


实现关键点


  • Token的生成
  • Token的共享
  • Token校验


Token共享复杂度


  • 同域
  • 跨域


Token认证方式


  • 业务系统自认证
  • 转发给认证中心认证


同源策略


所有支持JavaScript 的浏览器,都必须遵守的安全策略,也是浏览器最基本的安全功能。

如果没有处理过发起跨域请求,就算服务器接收到了,响应成功了浏览器也是会拦截的。


同源


指域名,协议,端口相同


目的


浏览器为了阻止恶意脚本获取不同源上的的敏感信息。


跨域请求


然而在实际情况下跨域请求的场景也是存在的,解决方案有两种:


  • JSONP
  • 响应头设置“Access-Control-Allow-Origin”


Cookie


Cookie的读取和发送也是必须遵循同源策略的。


虽说请求共享可以设置响应头Access-Control-Allow-Credentials、Access-Control-Allow-Origin与Ajax请求属性xhrFields: {withCredentials: true}进行解决,但是!


就算响应头有set-cookie浏览器也是无法正常保存的。


SSO跨域解决方式


针对cookie认证,我唯一能找到的解决方案就是跳转页面。


具体步骤:

  1. 认证中心登录成功后,请求登录中心接口获得token
  2. 携带token逐个跳转到业务系统的中转页面。
  3. 跳转完成后,返回到认证中心登录页面进行引导。


PS:如果哪位朋友有更加好的方案,可以及时与我沟通,非常感谢


实现方式


登录中心授权


<script>
    $(function () {
        $("#submit").click(function () {
            $("#postForm").ajaxSubmit(function (result) {
                if (result.success) {
                    var token = getToken();
                    if (token) {
                        var authorizeHostArray = new Array(
                            "http://www.web1.com/Token/Authorization",
                            "http://www.web2.com/Token/Authorization"
                        );
                        var authorizeHostParams = "";
                        authorizeHostArray.forEach(function (item) {
                            authorizeHostParams += "&hostAuthorization=" + item;
                        });
                        window.location.href = authorizeHostArray[0] + "?token=" + token + authorizeHostParams;
                    }
                } else {
                    alert(result.msg);
                }
            });
        });
        function getToken() {
            var token = null;
            $.ajax({
                url: "/api/Token",
                type: "GET",
                async: false,
                success: function (d) {
                    token = d.token;
                }
            });
            return token;
        }
    });
</script>


业务系统Token保存与注销


public class TokenController : Controller
    {
        public static TokenCookieOptions CookieOptions { get; set; }
        public IActionResult Authorization(string token, List<string> hostAuthorization = null)
        {
            if (CookieOptions == null || string.IsNullOrEmpty(token))
                return BadRequest();
            HttpContext.Response.Cookies.Append(CookieOptions.Name, token, new CookieOptions
            {
                Domain = CookieOptions.Domain,
                Expires = DateTimeOffset.UtcNow.Add(CookieOptions.Expires),
                HttpOnly = CookieOptions.HttpOnly,
                IsEssential = CookieOptions.IsEssential,
                MaxAge = CookieOptions.MaxAge,
                Path = CookieOptions.Path,
                SameSite = CookieOptions.SameSite
            });
            if (hostAuthorization.Any())
                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();
            if (!hostAuthorization.Any())
                hostAuthorization = new List<string> { "http://www.sso.com" };
            return View(new TokenViewData
            {
                Token = token,
                HostAuthorization = hostAuthorization
            });
        }
        public IActionResult Logout(List<string> hostAuthorization = null)
        {
            HttpContext.Response.Cookies.Delete(CookieOptions.Name);
            if (hostAuthorization.Any())
                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();
            if (!hostAuthorization.Any())
                hostAuthorization = new List<string> { "http://www.sso.com" };
            return View(new TokenViewData
            {
                HostAuthorization = hostAuthorization
            });
        }
    }


Token生成与认证


与同域的实现的方式一致。


生成与认证是一对的,与之对应的就是AES的加密与解密。


public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();
            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(options =>
               {
                   options.Cookie.Name = "Token";
                   options.Cookie.HttpOnly = true;
                   options.ExpireTimeSpan = TimeSpan.FromMinutes(30);
                   options.LoginPath = "/Account/Login";
                   options.LogoutPath = "/Account/Logout";
                   options.SlidingExpiration = true;
                   //options.DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"D:\sso\key"));
                   options.TicketDataFormat = new TicketDataFormat(new AesDataProtector());
                   TokenController.CookieName = options.Cookie.Name;
               });
        }
internal class AesDataProtector : IDataProtector
    {
        private const string Key = "!@#13487";
        public IDataProtector CreateProtector(string purpose)
        {
            return this;
        }
        public byte[] Protect(byte[] plaintext)
        {
            return AESHelper.Encrypt(plaintext, Key);
        }
        public byte[] Unprotect(byte[] protectedData)
        {
            return AESHelper.Decrypt(protectedData, Key);
        }
    }


业务系统自主认证的方式,对于系统的代码复用率与维护性都很低。如果想进行转发到认证系统进行认证,可以对[Authorize]进行重写。


大致思路是:


访问业务系统时,由自定义的[Authorize]进行拦截


获取到Token设置到请求头进行HttpPost到认证系统提供的/api/token/Authentication接口


响应给业务系统如果是成功则继续访问,如果是失败则401或者跳转到登录页。


目录
相关文章
|
1月前
|
存储 开发框架 JSON
ASP.NET Core OData 9 正式发布
【10月更文挑战第8天】Microsoft 在 2024 年 8 月 30 日宣布推出 ASP.NET Core OData 9,此版本与 .NET 8 的 OData 库保持一致,改进了数据编码以符合 OData 规范,并放弃了对旧版 .NET Framework 的支持,仅支持 .NET 8 及更高版本。新版本引入了更快的 JSON 编写器 `System.Text.UTF8JsonWriter`,优化了内存使用和序列化速度。
|
2月前
|
开发框架 监控 前端开发
在 ASP.NET Core Web API 中使用操作筛选器统一处理通用操作
【9月更文挑战第27天】操作筛选器是ASP.NET Core MVC和Web API中的一种过滤器,可在操作方法执行前后运行代码,适用于日志记录、性能监控和验证等场景。通过实现`IActionFilter`接口的`OnActionExecuting`和`OnActionExecuted`方法,可以统一处理日志、验证及异常。创建并注册自定义筛选器类,能提升代码的可维护性和复用性。
|
2月前
|
开发框架 .NET 中间件
ASP.NET Core Web 开发浅谈
本文介绍ASP.NET Core,一个轻量级、开源的跨平台框架,专为构建高性能Web应用设计。通过简单步骤,你将学会创建首个Web应用。文章还深入探讨了路由配置、依赖注入及安全性配置等常见问题,并提供了实用示例代码以助于理解与避免错误,帮助开发者更好地掌握ASP.NET Core的核心概念。
100 3
|
1月前
|
开发框架 JavaScript 前端开发
一个适用于 ASP.NET Core 的轻量级插件框架
一个适用于 ASP.NET Core 的轻量级插件框架
|
1月前
|
开发框架 缓存 算法
开源且实用的C#/.NET编程技巧练习宝库(学习,工作,实践干货)
开源且实用的C#/.NET编程技巧练习宝库(学习,工作,实践干货)
|
1月前
|
Cloud Native API C#
.NET云原生应用实践(一):从搭建项目框架结构开始
.NET云原生应用实践(一):从搭建项目框架结构开始
|
2月前
|
开发框架 NoSQL .NET
利用分布式锁在ASP.NET Core中实现防抖
【9月更文挑战第5天】在 ASP.NET Core 中,可通过分布式锁实现防抖功能,仅处理连续相同请求中的首个请求,其余请求返回 204 No Content,直至锁释放。具体步骤包括:安装分布式锁库如 `StackExchange.Redis`;创建分布式锁服务接口及其实现;构建防抖中间件;并在 `Startup.cs` 中注册相关服务和中间件。这一机制有效避免了短时间内重复操作的问题。
|
开发框架 前端开发 .NET
ASP.NET Core 核心特性学习笔记「下」
ASP.NET Core 核心特性学习笔记「下」
|
开发框架 前端开发 中间件
ASP.NET Core 核心特性学习笔记「上」
ASP.NET Core 核心特性学习笔记「上」
|
SQL 机器学习/深度学习 Cloud Native
.NET 云原生架构师训练营(模块二 基础巩固 EF Core 更新和迁移)--学习笔记
- 状态 - 自动变更检测 - 不查询删除和更新 - 并发
252 0
.NET 云原生架构师训练营(模块二 基础巩固 EF Core 更新和迁移)--学习笔记