前言

接着上篇的《.net core实践系列之SSO-同域实现》,这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践,但是核心点使用jquery居多。

建议看这篇文章的朋友可以先看上篇《.net core实践系列之SSO-同域实现》做一个SSO大概了解。

源码地址:https://github.com/SkyChenSky/Core.SSO.git

效果图

知识点回顾

实现原则

只要统一Token的产生和校验方式,无论授权与认证的在哪(认证系统或业务系统),也无论用户信息存储在哪(浏览器、服务器),其实都可以实现单点登录的效果

实现关键点

  • Token的生成
  • Token的共享
  • Token校验

Token共享复杂度

  • 同域
  • 跨域

Token认证方式

  • 业务系统自认证
  • 转发给认证中心认证

同源策略

所有支持JavaScript 的浏览器,都必须遵守的安全策略,也是浏览器最基本的安全功能。

如果没有处理过发起跨域请求,就算服务器接收到了,响应成功了浏览器也是会拦截的。

同源

指域名,协议,端口相同

目的

浏览器为了阻止恶意脚本获取不同源上的的敏感信息。

跨域请求

然而在实际情况下跨域请求的场景也是存在的,解决方案有两种:

  • JSONP
  • 响应头设置“Access-Control-Allow-Origin”

Cookie

Cookie的读取和发送也是必须遵循同源策略的。

虽说请求共享可以设置响应头Access-Control-Allow-Credentials、Access-Control-Allow-Origin与Ajax请求属性xhrFields: {withCredentials: true}进行解决,但是!

就算响应头有set-cookie浏览器也是无法正常保存的。

SSO跨域解决方式

针对cookie认证,我唯一能找到的解决方案就是跳转页面。

具体步骤:

  1. 认证中心登录成功后,请求登录中心接口获得token
  2. 携带token逐个跳转到业务系统的中转页面。
  3. 跳转完成后,返回到认证中心登录页面进行引导。

PS:如果哪位朋友有更加好的方案,可以及时与我沟通,非常感谢

实现方式

登录中心授权

<script>

    $(function () {

        $("#submit").click(function () {

            $("#postForm").ajaxSubmit(function (result) {

                if (result.success) {

                    var token = getToken();

                    if (token) {

                        var authorizeHostArray = new Array(

                            "http://www.web1.com/Token/Authorization",

                            "http://www.web2.com/Token/Authorization"

                        );

                        var authorizeHostParams = "";

                        authorizeHostArray.forEach(function (item) {

                            authorizeHostParams += "&hostAuthorization=" + item;

                        });

                        window.location.href = authorizeHostArray[0] + "?token=" + token + authorizeHostParams;

                    }

                } else {

                    alert(result.msg);

                }

            });

        });

        function getToken() {

            var token = null;

            $.ajax({

                url: "/api/Token",

                type: "GET",

                async: false,

                success: function (d) {

                    token = d.token;

                }

            });

            return token;

        }

    });

</script>

业务系统Token保存与注销

public class TokenController : Controller

    {

        public static TokenCookieOptions CookieOptions { get; set; }

        public IActionResult Authorization(string token, List<string> hostAuthorization = null)

        {

            if (CookieOptions == null || string.IsNullOrEmpty(token))

                return BadRequest();

            HttpContext.Response.Cookies.Append(CookieOptions.Name, token, new CookieOptions

            {

                Domain = CookieOptions.Domain,

                Expires = DateTimeOffset.UtcNow.Add(CookieOptions.Expires),

                HttpOnly = CookieOptions.HttpOnly,

                IsEssential = CookieOptions.IsEssential,

                MaxAge = CookieOptions.MaxAge,

                Path = CookieOptions.Path,

                SameSite = CookieOptions.SameSite

            });

            if (hostAuthorization.Any())

                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())

                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData

            {

                Token = token,

                HostAuthorization = hostAuthorization

            });

        }

        public IActionResult Logout(List<string> hostAuthorization = null)

        {

            HttpContext.Response.Cookies.Delete(CookieOptions.Name);

            if (hostAuthorization.Any())

                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())

                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData

            {

                HostAuthorization = hostAuthorization

            });

        }

    }

Token生成与认证

与同域的实现的方式一致。

生成与认证是一对的,与之对应的就是AES的加密与解密。

public void ConfigureServices(IServiceCollection services)

        {

            services.AddMvc();

            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)

                .AddCookie(options =>

               {

                   options.Cookie.Name = "Token";

                   options.Cookie.HttpOnly = true;

                   options.ExpireTimeSpan = TimeSpan.FromMinutes();

                   options.LoginPath = "/Account/Login";

                   options.LogoutPath = "/Account/Logout";

                   options.SlidingExpiration = true;

                   //options.DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"D:\sso\key"));

                   options.TicketDataFormat = new TicketDataFormat(new AesDataProtector());

                   TokenController.CookieName = options.Cookie.Name;

               });

        }
internal class AesDataProtector : IDataProtector

    {

        private const string Key = "!@#13487";

        public IDataProtector CreateProtector(string purpose)

        {

            return this;

        }

        public byte[] Protect(byte[] plaintext)

        {

            return AESHelper.Encrypt(plaintext, Key);

        }

        public byte[] Unprotect(byte[] protectedData)

        {

            return AESHelper.Decrypt(protectedData, Key);

        }

    }

业务系统自主认证的方式,对于系统的代码复用率与维护性都很低。如果想进行转发到认证系统进行认证,可以对[Authorize]进行重写。

大致思路是:

访问业务系统时,由自定义的[Authorize]进行拦截

获取到Token设置到请求头进行HttpPost到认证系统提供的/api/token/Authentication接口

响应给业务系统如果是成功则继续访问,如果是失败则401或者跳转到登录页。

结尾

最近事情比较多,demo与文章写的比较仓促,如果朋友们有更好的实现方式与建议,麻烦在下面评论反馈给我,先在此感谢。

.net core实践系列之SSO-跨域实现的更多相关文章

  1. .net core实践系列之短信服务-目录

    前言 经过两周多的业余时间,终于把该系列的文章写完了.第一次写系列,可能部分关键点并没有覆盖到,如果有疑问的朋友可以随时反馈给我.另外也感谢在我发布文章时给予我方案建议与反馈源码BUG的朋友们.下面是 ...

  2. .net core实践系列之短信服务-架构设计

    前言 上篇<.net core实践系列之短信服务-为什么选择.net core(开篇)>简单的介绍了(水了一篇).net core.这次针对短信服务的架构设计和技术栈的简析. 源码地址:h ...

  3. .net core实践系列之短信服务-Sikiro.SMS.Api服务的实现

    前言 上篇<.net core实践系列之短信服务-架构设计>介绍了我对短信服务的架构设计,同时针对场景解析了我的设计理念.本篇继续讲解Api服务的实现过程. 源码地址:https://gi ...

  4. .net core实践系列之短信服务-Api的SDK的实现与测试

    前言 上一篇<.net core实践系列之短信服务-Sikiro.SMS.Api服务的实现>讲解了API的设计与实现,本篇主要讲解编写接口的SDK编写还有API的测试. 或许有些人会认为, ...

  5. .net core实践系列之短信服务-Sikiro.SMS.Bus服务的实现

    前言 前两篇<.net core实践系列之短信服务-Sikiro.SMS.Api服务的实现>.<.net core实践系列之短信服务-Api的SDK的实现与测试>分别讲解了AP ...

  6. .net core实践系列之SSO-同域实现

    前言 SSO的系列还是以.Net Core作为实践例子与大家分享,SSO在Web方面复杂度分同域与跨域.本篇先分享同域的设计与实现,跨域将在下篇与大家分享. 如有需要调试demo的,可把SSO项目部署 ...

  7. asp.net core 系列之允许跨域访问-1(Enable Cross-Origin Requests:CORS)

    接上篇的允许跨域 4.CORS 策略(Policy)的选项 这里讲解Policy可以设置的选项: 设置允许的访问源 设置允许的HTTP methods 设置允许的请求头(request header) ...

  8. asp.net core 系列之允许跨域访问2之测试跨域(Enable Cross-Origin Requests:CORS)

    这一节主要讲如何测试跨域问题 你可以直接在官网下载示例代码,也可以自己写,我这里直接使用官网样例进行演示 样例代码下载: Cors 一.提供服务方,这里使用的是API 1.创建一个API项目.或者直接 ...

  9. 来吧学学.Net Core之登录认证与跨域资源使用

    序言 学习core登录认证与跨域资源共享是越不过的砍,所以我在学习中同样也遇到啦这两个问题,今天我们就用示例来演示下使用下这2个技术点吧. 本篇主要内容如下: 1.展示一个登录认证的简单示例 2.跨域 ...

随机推荐

  1. DAY3(PYTHON)字符串切片

    字符串调整: capitalize()   #首字母大写 upper()        #全大写 lower()      #全小写 swapcase() #大小写翻转 字符串切片: 顾头不顾尾!!! ...

  2. MyBatis笔记----MyBatis 入门经典的两个例子: XML 定义与注解定义

    ----致敬MyBatis官方开放文档让大家翻译,不用看书直接看文档就行了,mybatis的中文文档还需要完备的地方 简介 什么是 MyBatis ? MyBatis 是支持定制化 SQL.存储过程以 ...

  3. 二、tableau常用难点操作

    常用操作: 1.Ctrl+要选的多个字段+“智能显示”选择相应的图形 2.ctrl+m:新建工作表 3.添加行和列时,注意分层结构的利用 3.行的标题颜色的修改: (1)单行:表-右击-阴影-选择相应 ...

  4. Python PEP-8编码风格指南中文版

    #PEP 8 – Python编码风格指南 PEP: 8 Title: Style Guide for Python Code Author: Guido van Rossum , Barry War ...

  5. windows 解放鼠标快捷键

    win+ 调整某个窗口的放大缩小靠边站,最小化 窗口间的切换alt+tablealt (按住)+table(一下)+ 上下左右 alt(一下)+table(一下)相邻切换 alt(按住)+tables ...

  6. Linux系统中Redis和Tomcat的PID文件路径设置

    Tomcat: /bin/catalina.sh 文件头注释下面添加一行:CATALINA_PID=/var/run/tomcat.pid Redis: redis.conf配置文件里面搜索pidfi ...

  7. Linux 小知识翻译 - 「服务器」

    这次聊聊 「服务器」 这个词. 可能会觉得为什么「突然问这个?」.接下来请先考虑一下下面的题目. A) 「Web服务器是指提供网页数据的软件」 B) 「Web服务器是指运行上述软件的硬件」 那么,究竟 ...

  8. CISCO 动态路由(OSPF)

    OSPF(开放式最短路径优先):是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由.是对链路 ...

  9. 【Teradata】日期类型计算

    1.EXTRACT(抽取年/月/日/时/分/秒)  //抽取年/月/日/时/分/秒 SELECT EXTRACT (YEAR FROM CURRENT_DATE); SELECT EXTRACT (M ...

  10. Apache Spark技术实战之6 --Standalone部署模式下的临时文件清理

    问题导读 1.在Standalone部署模式下,Spark运行过程中会创建哪些临时性目录及文件? 2.在Standalone部署模式下分为几种模式? 3.在client模式和cluster模式下有什么 ...