前言

接着上篇的《.net core实践系列之SSO-同域实现》,这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践,但是核心点使用jquery居多。

建议看这篇文章的朋友可以先看上篇《.net core实践系列之SSO-同域实现》做一个SSO大概了解。

源码地址:https://github.com/SkyChenSky/Core.SSO.git

效果图

知识点回顾

实现原则

只要统一Token的产生和校验方式,无论授权与认证的在哪(认证系统或业务系统),也无论用户信息存储在哪(浏览器、服务器),其实都可以实现单点登录的效果

实现关键点

  • Token的生成
  • Token的共享
  • Token校验

Token共享复杂度

  • 同域
  • 跨域

Token认证方式

  • 业务系统自认证
  • 转发给认证中心认证

同源策略

所有支持JavaScript 的浏览器,都必须遵守的安全策略,也是浏览器最基本的安全功能。

如果没有处理过发起跨域请求,就算服务器接收到了,响应成功了浏览器也是会拦截的。

同源

指域名,协议,端口相同

目的

浏览器为了阻止恶意脚本获取不同源上的的敏感信息。

跨域请求

然而在实际情况下跨域请求的场景也是存在的,解决方案有两种:

  • JSONP
  • 响应头设置“Access-Control-Allow-Origin”

Cookie

Cookie的读取和发送也是必须遵循同源策略的。

虽说请求共享可以设置响应头Access-Control-Allow-Credentials、Access-Control-Allow-Origin与Ajax请求属性xhrFields: {withCredentials: true}进行解决,但是!

就算响应头有set-cookie浏览器也是无法正常保存的。

SSO跨域解决方式

针对cookie认证,我唯一能找到的解决方案就是跳转页面。

具体步骤:

  1. 认证中心登录成功后,请求登录中心接口获得token
  2. 携带token逐个跳转到业务系统的中转页面。
  3. 跳转完成后,返回到认证中心登录页面进行引导。

PS:如果哪位朋友有更加好的方案,可以及时与我沟通,非常感谢

实现方式

登录中心授权

<script>

    $(function () {

        $("#submit").click(function () {

            $("#postForm").ajaxSubmit(function (result) {

                if (result.success) {

                    var token = getToken();

                    if (token) {

                        var authorizeHostArray = new Array(

                            "http://www.web1.com/Token/Authorization",

                            "http://www.web2.com/Token/Authorization"

                        );

                        var authorizeHostParams = "";

                        authorizeHostArray.forEach(function (item) {

                            authorizeHostParams += "&hostAuthorization=" + item;

                        });

                        window.location.href = authorizeHostArray[0] + "?token=" + token + authorizeHostParams;

                    }

                } else {

                    alert(result.msg);

                }

            });

        });

        function getToken() {

            var token = null;

            $.ajax({

                url: "/api/Token",

                type: "GET",

                async: false,

                success: function (d) {

                    token = d.token;

                }

            });

            return token;

        }

    });

</script>

业务系统Token保存与注销

public class TokenController : Controller

    {

        public static TokenCookieOptions CookieOptions { get; set; }

        public IActionResult Authorization(string token, List<string> hostAuthorization = null)

        {

            if (CookieOptions == null || string.IsNullOrEmpty(token))

                return BadRequest();

            HttpContext.Response.Cookies.Append(CookieOptions.Name, token, new CookieOptions

            {

                Domain = CookieOptions.Domain,

                Expires = DateTimeOffset.UtcNow.Add(CookieOptions.Expires),

                HttpOnly = CookieOptions.HttpOnly,

                IsEssential = CookieOptions.IsEssential,

                MaxAge = CookieOptions.MaxAge,

                Path = CookieOptions.Path,

                SameSite = CookieOptions.SameSite

            });

            if (hostAuthorization.Any())

                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())

                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData

            {

                Token = token,

                HostAuthorization = hostAuthorization

            });

        }

        public IActionResult Logout(List<string> hostAuthorization = null)

        {

            HttpContext.Response.Cookies.Delete(CookieOptions.Name);

            if (hostAuthorization.Any())

                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())

                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData

            {

                HostAuthorization = hostAuthorization

            });

        }

    }

Token生成与认证

与同域的实现的方式一致。

生成与认证是一对的,与之对应的就是AES的加密与解密。

public void ConfigureServices(IServiceCollection services)

        {

            services.AddMvc();

            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)

                .AddCookie(options =>

               {

                   options.Cookie.Name = "Token";

                   options.Cookie.HttpOnly = true;

                   options.ExpireTimeSpan = TimeSpan.FromMinutes();

                   options.LoginPath = "/Account/Login";

                   options.LogoutPath = "/Account/Logout";

                   options.SlidingExpiration = true;

                   //options.DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"D:\sso\key"));

                   options.TicketDataFormat = new TicketDataFormat(new AesDataProtector());

                   TokenController.CookieName = options.Cookie.Name;

               });

        }
internal class AesDataProtector : IDataProtector

    {

        private const string Key = "!@#13487";

        public IDataProtector CreateProtector(string purpose)

        {

            return this;

        }

        public byte[] Protect(byte[] plaintext)

        {

            return AESHelper.Encrypt(plaintext, Key);

        }

        public byte[] Unprotect(byte[] protectedData)

        {

            return AESHelper.Decrypt(protectedData, Key);

        }

    }

业务系统自主认证的方式,对于系统的代码复用率与维护性都很低。如果想进行转发到认证系统进行认证,可以对[Authorize]进行重写。

大致思路是:

访问业务系统时,由自定义的[Authorize]进行拦截

获取到Token设置到请求头进行HttpPost到认证系统提供的/api/token/Authentication接口

响应给业务系统如果是成功则继续访问,如果是失败则401或者跳转到登录页。

结尾

最近事情比较多,demo与文章写的比较仓促,如果朋友们有更好的实现方式与建议,麻烦在下面评论反馈给我,先在此感谢。

.net core实践系列之SSO-跨域实现的更多相关文章

  1. .net core实践系列之短信服务-目录

    前言 经过两周多的业余时间,终于把该系列的文章写完了.第一次写系列,可能部分关键点并没有覆盖到,如果有疑问的朋友可以随时反馈给我.另外也感谢在我发布文章时给予我方案建议与反馈源码BUG的朋友们.下面是 ...

  2. .net core实践系列之短信服务-架构设计

    前言 上篇<.net core实践系列之短信服务-为什么选择.net core(开篇)>简单的介绍了(水了一篇).net core.这次针对短信服务的架构设计和技术栈的简析. 源码地址:h ...

  3. .net core实践系列之短信服务-Sikiro.SMS.Api服务的实现

    前言 上篇<.net core实践系列之短信服务-架构设计>介绍了我对短信服务的架构设计,同时针对场景解析了我的设计理念.本篇继续讲解Api服务的实现过程. 源码地址:https://gi ...

  4. .net core实践系列之短信服务-Api的SDK的实现与测试

    前言 上一篇<.net core实践系列之短信服务-Sikiro.SMS.Api服务的实现>讲解了API的设计与实现,本篇主要讲解编写接口的SDK编写还有API的测试. 或许有些人会认为, ...

  5. .net core实践系列之短信服务-Sikiro.SMS.Bus服务的实现

    前言 前两篇<.net core实践系列之短信服务-Sikiro.SMS.Api服务的实现>.<.net core实践系列之短信服务-Api的SDK的实现与测试>分别讲解了AP ...

  6. .net core实践系列之SSO-同域实现

    前言 SSO的系列还是以.Net Core作为实践例子与大家分享,SSO在Web方面复杂度分同域与跨域.本篇先分享同域的设计与实现,跨域将在下篇与大家分享. 如有需要调试demo的,可把SSO项目部署 ...

  7. asp.net core 系列之允许跨域访问-1(Enable Cross-Origin Requests:CORS)

    接上篇的允许跨域 4.CORS 策略(Policy)的选项 这里讲解Policy可以设置的选项: 设置允许的访问源 设置允许的HTTP methods 设置允许的请求头(request header) ...

  8. asp.net core 系列之允许跨域访问2之测试跨域(Enable Cross-Origin Requests:CORS)

    这一节主要讲如何测试跨域问题 你可以直接在官网下载示例代码,也可以自己写,我这里直接使用官网样例进行演示 样例代码下载: Cors 一.提供服务方,这里使用的是API 1.创建一个API项目.或者直接 ...

  9. 来吧学学.Net Core之登录认证与跨域资源使用

    序言 学习core登录认证与跨域资源共享是越不过的砍,所以我在学习中同样也遇到啦这两个问题,今天我们就用示例来演示下使用下这2个技术点吧. 本篇主要内容如下: 1.展示一个登录认证的简单示例 2.跨域 ...

随机推荐

  1. WiFi的名词缩写

    http://blog.csdn.net/jayxujia123/article/details/12842295 无线网络最初采用的安全机制是WEP(有线等效私密),但是后来发现WEP是很不安全的, ...

  2. eclipse配置环境变量 (特别是输入javac无显示问题)

    下载JDK:http://www.oracle.com/technetwork/java/javase/downloads/index.html 最近win10恢复了一下系统,重新给eclipse配一 ...

  3. (python)数据结构---字符串

    一.概述 由一个个字符组成的有序序列. 使用单引号.双引号.三引号引住的字符序列. 不可变.线性的数据结构. 二.字符串的相关操作 1.元素访问----下标 字符串是线性的数据结构,可以使用索引去访问 ...

  4. [python]函数返回多个return值

    python支持函数直接返回多个变量,具体用法如下: >>> def test(): ... a=2 ... b=3 ... return a,b ... >>> ...

  5. 自动化测试基础篇--Selenium浏览器操作

    摘自https://www.cnblogs.com/sanzangTst/p/7462056.html  学习 Selenium 主要提供的是操作页面上各种元素的方法,但它也提供了操作浏览器本身的方法 ...

  6. python 制作一对一聊天

    用到的参考资料 https://blog.csdn.net/jia666666/article/details/81624550 https://blog.csdn.net/jia666666/art ...

  7. adb 的常见问题与处理办法两三

    问题1:无法安装手机驱动, 解决方法:安装强大的豌豆荚,通常能都能解决问题 问题2: adb devices 时出现 adb devicesadb server is out of date.  ki ...

  8. C# -- 抽象类与抽象方法

    C#: 抽象类与抽象方法 1.代码 class Program { static void Main(string[] args) { ; i < ; i++) { == ) { Storage ...

  9. Git&GitHub语法大全

    目录 1. GitHub与Git万用语法 1)创建库 2)添加和提交到仓库 3)版本回退 4)缓存区和暂存区 5)撤销和删除文件 6)远程仓库 7)创建和合并分支 2. 更多Git语法 1. GitH ...

  10. Java多线程(一) 什么是线程

    声明:本系列大多是翻译自https://www.javatpoint.com,加上自己的增删改,尽力写的系统而通俗易懂,后文不再重复声明. 点我跳过黑哥的卑鄙广告行为,进入正文. Java多线程系列更 ...