.net core实践系列之SSO-跨域实现

前言

接着上篇的《.net core实践系列之SSO-同域实现》,这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践,但是核心点使用jquery居多。

建议看这篇文章的朋友可以先看上篇《.net core实践系列之SSO-同域实现》做一个SSO大概了解。

源码地址:https://github.com/SkyChenSky/Core.SSO.git

效果图

知识点回顾

实现原则

只要统一Token的产生和校验方式,无论授权与认证的在哪(认证系统或业务系统),也无论用户信息存储在哪(浏览器、服务器),其实都可以实现单点登录的效果

实现关键点

  • Token的生成
  • Token的共享
  • Token校验

Token共享复杂度

  • 同域
  • 跨域

Token认证方式

  • 业务系统自认证
  • 转发给认证中心认证

同源策略

所有支持JavaScript 的浏览器,都必须遵守的安全策略,也是浏览器最基本的安全功能。

如果没有处理过发起跨域请求,就算服务器接收到了,响应成功了浏览器也是会拦截的。

同源

指域名,协议,端口相同

目的

浏览器为了阻止恶意脚本获取不同源上的的敏感信息。

跨域请求

然而在实际情况下跨域请求的场景也是存在的,解决方案有两种:

  • JSONP
  • 响应头设置“Access-Control-Allow-Origin”

Cookie

Cookie的读取和发送也是必须遵循同源策略的。

虽说请求共享可以设置响应头Access-Control-Allow-Credentials、Access-Control-Allow-Origin与Ajax请求属性xhrFields: {withCredentials: true}进行解决,但是!

就算响应头有set-cookie浏览器也是无法正常保存的。

SSO跨域解决方式

针对cookie认证,我唯一能找到的解决方案就是跳转页面。

具体步骤:

  1. 认证中心登录成功后,请求登录中心接口获得token
  2. 携带token逐个跳转到业务系统的中转页面。
  3. 跳转完成后,返回到认证中心登录页面进行引导。

PS:如果哪位朋友有更加好的方案,可以及时与我沟通,非常感谢

实现方式

登录中心授权

<script>
    $(function () {
        $("#submit").click(function () {
            $("#postForm").ajaxSubmit(function (result) {
                if (result.success) {
                    var token = getToken();
                    if (token) {
                        var authorizeHostArray = new Array(
                            "http://www.web1.com/Token/Authorization",
                            "http://www.web2.com/Token/Authorization"
                        );
                        var authorizeHostParams = "";
                        authorizeHostArray.forEach(function (item) {
                            authorizeHostParams += "&hostAuthorization=" + item;
                        });
                        window.location.href = authorizeHostArray[0] + "?token=" + token + authorizeHostParams;
                    }
                } else {
                    alert(result.msg);
                }
            });
        });

        function getToken() {
            var token = null;
            $.ajax({
                url: "/api/Token",
                type: "GET",
                async: false,
                success: function (d) {
                    token = d.token;
                }
            });
            return token;
        }
    });
</script>

业务系统Token保存与注销

public class TokenController : Controller
    {
        public static TokenCookieOptions CookieOptions { get; set; }

        public IActionResult Authorization(string token, List<string> hostAuthorization = null)
        {
            if (CookieOptions == null || string.IsNullOrEmpty(token))
                return BadRequest();

            HttpContext.Response.Cookies.Append(CookieOptions.Name, token, new CookieOptions
            {
                Domain = CookieOptions.Domain,
                Expires = DateTimeOffset.UtcNow.Add(CookieOptions.Expires),
                HttpOnly = CookieOptions.HttpOnly,
                IsEssential = CookieOptions.IsEssential,
                MaxAge = CookieOptions.MaxAge,
                Path = CookieOptions.Path,
                SameSite = CookieOptions.SameSite
            });

            if (hostAuthorization.Any())
                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())
                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData
            {
                Token = token,
                HostAuthorization = hostAuthorization
            });
        }

        public IActionResult Logout(List<string> hostAuthorization = null)
        {
            HttpContext.Response.Cookies.Delete(CookieOptions.Name);

            if (hostAuthorization.Any())
                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())
                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData
            {
                HostAuthorization = hostAuthorization
            });
        }
    }

Token生成与认证

与同域的实现的方式一致。

生成与认证是一对的,与之对应的就是AES的加密与解密。

public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();
            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(options =>
               {
                   options.Cookie.Name = "Token";
                   options.Cookie.HttpOnly = true;
                   options.ExpireTimeSpan = TimeSpan.FromMinutes(30);
                   options.LoginPath = "/Account/Login";
                   options.LogoutPath = "/Account/Logout";
                   options.SlidingExpiration = true;
                   //options.DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"D:\sso\key"));
                   options.TicketDataFormat = new TicketDataFormat(new AesDataProtector());
                   TokenController.CookieName = options.Cookie.Name;
               });
        }
internal class AesDataProtector : IDataProtector
    {
        private const string Key = "[email protected]#13487";

        public IDataProtector CreateProtector(string purpose)
        {
            return this;
        }

        public byte[] Protect(byte[] plaintext)
        {
            return AESHelper.Encrypt(plaintext, Key);
        }

        public byte[] Unprotect(byte[] protectedData)
        {
            return AESHelper.Decrypt(protectedData, Key);
        }
    }

业务系统自主认证的方式,对于系统的代码复用率与维护性都很低。如果想进行转发到认证系统进行认证,可以对[Authorize]进行重写。

大致思路是:

访问业务系统时,由自定义的[Authorize]进行拦截

获取到Token设置到请求头进行HttpPost到认证系统提供的/api/token/Authentication接口

响应给业务系统如果是成功则继续访问,如果是失败则401或者跳转到登录页。

结尾

最近事情比较多,demo与文章写的比较仓促,如果朋友们有更好的实现方式与建议,麻烦在下面评论反馈给我,先在此感谢。

原文地址:https://www.cnblogs.com/skychen1218/p/9805995.html

时间: 2024-10-08 10:50:11

.net core实践系列之SSO-跨域实现的相关文章

asp.net core 系列之允许跨域访问-1(Enable Cross-Origin Requests:CORS)

接上篇的允许跨域 4.CORS 策略(Policy)的选项 这里讲解Policy可以设置的选项: 设置允许的访问源 设置允许的HTTP methods 设置允许的请求头(request header) 设置暴露的响应头(response header) 跨不同源请求的证书(Credentials) 设置过期时间 AddPolicy 在StartUp.ConfigureServices方法中调用:对于一些选项,先阅读一下,CORS是怎么工作的,可能会有帮助 设置允许的源(Origins) Allo

asp.net core 系列之允许跨域访问2之测试跨域(Enable Cross-Origin Requests:CORS)

这一节主要讲如何测试跨域问题 你可以直接在官网下载示例代码,也可以自己写,我这里直接使用官网样例进行演示 样例代码下载: Cors 一.提供服务方,这里使用的是API 1.创建一个API项目.或者直接下载样例代码 2.像之前讲的那样设置允许CORS,例如: public void Configure(IApplicationBuilder app, IHostingEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExce

JavaScript系列----AJAX以及跨域通信

1.Ajax 1.1.Ajax简介 Ajax简介这一部分我们主要是谈一下ajax的起源,ajax是什么?因为这些是跟技术无关的.所以,大多细节都是一笔带过. Ajax的起源? Ajax一词源于2005年 Jesse James Garrett发表的一篇题为"Ajax:A new Approach to Web Applications".他在这篇文       章中介绍了一种新技术,用他的话说,就是Ajax :Asynchronous JavaScript +XML的缩写. Ajax是

【分布式系列】session跨域及单点登录解决方案

Cookie机制 Cookie技术是客户端的解决方案,Cookie就是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息.让我们说得更具体一些:当用户使用浏览器访问一个支持Cookie的网站的时候,用户会提供包括用户名在内的个人信息并且提交至服务器:接着,服务器在向客户端回传相应的超文本的同时也会发回这些个人信息,当然这些信息并不是存放在HTTP响应体(Response Body)中的,而是存放于HTTP响应头(Res

sso跨域写cookie的一段js脚本

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <script> var setcookitarray = ""; setcookitarray = "[\"http://passport.a.com/main/setCookie.do?domain=\",\"http://passport.

Django框架基础之跨域

由于浏览器存在同源策略机制,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性. 特别的:由于同源策略是浏览器的限制,所以请求的发送和响应是可以进行,只不过浏览器不接受罢了. 浏览器同源策略并不是对所有的请求均制约: 制约: XmlHttpRequest 不约束: img.iframe.script等具有src属性的标签 开发需求:向其他网站发http请求         -- 浏览器直接发送请求(考虑同源)                         --制造含有src

java:sso(单点登录(single sign on),jsp文件动静态导入方式,session跨域)

1.jsp文件导入: 2.session跨域: 3.sso(单点登录(single sign on): sso Maven Webapp: LoginController.java: package com.sso.demo.controller; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.beans

1.NET Core Web Api跨域问题

官方说明 CORS means Cross-Origin Resource Sharing. Refer What is "Same Origin" Part Detailed Procedure 具体实践 需要引入 Microsoft.AspNetCore.Mvc.Cors 包 Cors配置 Startup.cs文件ConfigureServices方法中,将Cors服务放到容器中 services.AddCors(options); 传一个options,指定名字并配置它,这个时候

可跨域的单点登录(SSO)实现方案

可跨域的单点登录(SSO)实现方案 SSO简介 定义: 传统的单站点登录访问授权机制是:登录成功后将用户信息保存在session中,sessionId保存在cookie中,每次访问需要登录访问的资源(url)时判断当前session是否为空,为空的话跳转到登录界面登录,不为空的话允许访问. 单点登录是一种多站点共享登录访问授权机制,访问用户只需要在一个站点登录就可以访问其它站点需要登录访问的资源(url).用户在任意一个站点注销登录,则其它站点的登录状态也被注销.简而言之就是:一处登录,处处登录