---------------------------------------------------------------------------------------------單點登陸原理-----------------------------------------------------------------------------------------------------------------------------
1:http無狀態協議:
web采用客戶端-服務端架構,http做為通信協議,瀏覽器的每一次請求,服務器會獨自處理,
不與之間之后的請求產生關聯。
三次請求/響應之間沒有任何關系:
瀏覽器 客戶端
------------------------
| |
-------第(1)次請求-------->
| |
<------第(1)次響應--------
| |
| |
| |
-------第(2)次請求-------->
| |
<------第(3)次響應---------
| |
| |
| |
-------第(2)次請求-------->
| |
<------第(3)次響應---------
| |
| |
------------------------
但這也同時意味着,任何用戶都能通過瀏覽器訪問服務器資源,如果想保護服務器的某些資源,
必須限制瀏覽器請求;要限制瀏覽器請求,必須鑒別瀏覽器請求,響應合法請求,忽略非法請求;
要鑒別瀏覽器請求,必須清楚瀏覽器請求狀態。
既然http協議無狀態,那就讓服務器和瀏覽器共同維護一個狀態吧!這就是會話機制
2: 會話機制:
瀏覽器第一次請求服務器,服務器創建一個會話,並將會話的id作為響應的一部分發送給瀏覽器,
瀏覽器存儲會話id,並在后續第二次和第三次請求中帶上會話id,
服務器取得請求中的會話id就知道是不是同一個用戶了,這個過程用下圖說明,后續請求與第一次請求產生了關聯:
瀏覽器 客戶端
------------------------
| |
-------第(1)次請求-------->---------------[創建會話]
| | |
| |<------------------------|
| |
| |
<------第(1)次響應------------->(會話id)
| |
|-------------| |
| 保存會話(id)| |
| <-------| |
| |
-------第(2)次請求-------------->(會話id)
| |
<------第(3)次響應---------
| |
| |
| |
-------第(2)次請求--------------->(會話id)
| |
<------第(3)次響應---------
| |
| |
------------------------
服務端在內存中保存會話對象,瀏覽器怎么保存會話id:
請求參數:
將會話id作為一個請求參數,服務器接收請求自然能解析參數獲得會話信息,並借此來判斷是否來自同一
會話,很明顯,這種方式不靠譜。
cookie:
那就瀏覽器自己來維護這個會話id,每次發送http請求時瀏覽器自動發送
會話id,cookie機制正好可以來處理這件事。cookie時瀏覽器用來存儲少量
數據的一種機制,數據以Key:value的形式存儲,瀏覽器請求時自動附帶cookie信息。
tomcat會話機制當然也實現了cookie,訪問tomcat服務器時,
瀏覽器中可以看到一個名為“JSESSIONID”的cookie,這就是tomcat會話機制維護的會話id.
瀏覽器 客戶端
------------------------------
| |
-------第(1)次請求--------------->---------------[創建會話]
| | |
| |<------------------------|
| |
| |
<------第(1)次響應---------------(cookie:JSsessionid)
| |
|----------------------| |
| 設置cookie(jssessionid) |
| <----------------| |
| |
-------第(2)次請求--------------->(cookie:JSsessionid)
| |
<------第(3)次響應---------------
| |
| |
| |
-------第(2)次請求-------------->(cookie:JSsessionid)
| |
<------第(3)次響應---------------
| |
| |
-------------------------------
3: 單點登錄:
什么是單點登錄:
單點登錄全稱Single Sign On(以下簡稱SSO),
是指在多系統應用群中登錄一個系統,便可在其他所有系統中得到授權而無需再次登錄,
包括單點登錄與單點注銷兩部分
登錄:
相比於單系統登錄,sso需要一個獨立的認證中心,
只有認證中心能接受用戶的用戶名密碼等安全信息,
其他系統不提供登錄入口,只接受認證中心的間接授權。
間接授權通過令牌實現,sso認證中心驗證用戶的用戶名密碼沒問題,創建授權令牌,
在接下來的跳轉過程中,授權令牌作為參數發送給各個子系統,子系統拿到令牌,即得到了授權,
可以借此創建局部會話,局部會話登錄方式與單系統的登錄方式相同。
圖示:
瀏覽器 系統1 系統2 sso認證中心
*-----------------*--------------------*-----------------*-
| | | |
| | | |
| | | |
---訪問(系統1)------> | |
| | | |
| |----------------- | |
| | | | |
| <----驗證未登陸--- | |
| | | |
| | | |
| |----------跳轉(系統1的地址)------------>
| | | |------------------
| | | | |
| | | <----驗證未登陸-----
| | | |
<-----------登陸頁面(系統1的地址)--------------------------
| | |
------------登陸(usrname,password,系統1的地址)----------->
| | | |-------------------
| | | | |
| | | <---驗證成功---------
| | | |
| | | |-------------------
| | | | |
| | | <---創建全局會話-----
| | | |
| | | |-------------------
| | | | |
| | | <---創建授權令牌-----
| <----------跳轉(令牌)-------------------
| | | |
| | | |
| -----------校驗(令牌)------------------>
| | | |
| | | |-------------------
| | | | |
| | | <-----令牌有效-------
| | | |
| | | |-------------------
| | | | |
| | | <-----注冊系統--------
| | | |
| | | |
| <---------令牌有效----------------------
| | | |
| |--------------------------- |
| | |----令牌 |
| |<---創建局部會話信息------- |
| | | |
|<--受保護資源-----| | |
|
|
|
|-----------------訪問----------------->| |
| | |
| | --驗證未登陸 |
| | | |
| |<------------ |
| | |
| |-------調轉----->
| | |-----------------
| | | |
| | |<---驗證已登陸---
| | |
| | |
| | |
| |--校驗令牌------->
| | |
| | |------------------
| | | |
| | |<令牌有效---------
| | |
| | |------------------
| |<---------------| |
| | |<--注冊系統-------
| | |
| | |
| | |
| |<-令牌有效------|
| | |
| | |
| | |
| |------------
| | |
| |<-----創建局部會話(令牌)
| |
| |
| |
|<-----------受保護資源-----------------|
解釋:
1:用戶訪問系統1的受保護資源,系統1發現用戶未登錄,跳轉至sso認證中心,並將自己的地址作為參數
2:sso認證中心發現用戶未登錄,將用戶引導至登錄頁面
3:用戶輸入用戶名密碼提交登錄申請
4:sso認證中心校驗用戶信息,創建用戶與sso認證中心之間的會話,稱為全局會話,同時創建授權令牌
5:sso認證中心帶着令牌跳轉會最初的請求地址(系統1)
6:系統1拿到令牌,去sso認證中心校驗令牌是否有效
7:sso認證中心校驗令牌,返回有效,注冊系統1
8:系統1使用該令牌創建與用戶的會話,稱為局部會話,返回受保護資源
9:用戶訪問系統2的受保護資源
10:系統2發現用戶未登錄,跳轉至sso認證中心,並將自己的地址作為參數
12:sso認證中心發現用戶已登錄,跳轉回系統2的地址,並附上令牌
13:系統2拿到令牌,去sso認證中心校驗令牌是否有效
14:sso認證中心校驗令牌,返回有效,注冊系統2
15:系統2使用該令牌創建與用戶的局部會話,返回受保護資源
16:用戶登錄成功之后,會與sso認證中心及各個子系統建立會話,用戶與sso認證中心建立的會話稱為全局會話,用戶與各個子系統建立的會話稱為局部會話,
局部會話建立之后,用戶訪問子系統受保護資源將不再通過sso認證中心,全局會話與局部會話有如下約束關系
17:局部會話存在,全局會話一定存在
18:全局會話存在,局部會話不一定存在
19:全局會話銷毀,局部會話必須銷毀
注銷:
單點登錄自然也要單點注銷,在一個子系統中注銷,所有子系統的會話都將被銷毀。
圖示:
瀏覽器 系統1 系統2 sos認證中心
| | | |
| | | |
---------------------------------------------------------------------
| | | |
| | | |
| | | |
---銷毀請求(id)--------->
| | | |
| |----------- | |
| | | | |
| |<-取出令牌(會話id)
| | |
| | | |
---------------------------------------------->
| | | |
| | | |----------------
| | | | |
| | | |<--校驗令牌有效(令牌)
| | | |
| | | |
| | | |-----------------
| | | | |
| | | |<--銷毀全局會話--(令牌)
| | | |
| | | |-----------------
| | | | |
| | | |<-取出注冊系統---(令牌)
| | | |
| | | |
| | |<--銷毀局部會話令牌-----|
| | | |
| |<---銷毀全局會話令牌-------------------------|
| | | |
|<----------------------------登陸頁面--------------------------------|
解釋:
1:sso認證中心一直監聽全局會話的狀態,一旦全局會話銷毀,監聽器將通知所有注冊系統執行注銷操作
2:用戶向系統1發起注銷請求
3:系統1根據用戶與系統1建立的會話id拿到令牌,向sso認證中心發起注銷請求
4:sso認證中心校驗令牌有效,銷毀全局會話,同時取出所有用此令牌注冊的系統地址
5:sso認證中心向所有注冊系統發起注銷請求
6:各注冊系統接收sso認證中心的注銷請求,銷毀局部會話
7:sso認證中心引導用戶至登錄頁面
4:部署圖:
單點登錄涉及sso認證中心與眾子系統,子系統與sso認證中心需要通信以交換令牌、校驗令牌及發起注銷請求,
因而子系統必須集成sso的客戶端,sso認證中心則是sso服務端,
整個單點登錄過程實質是sso客戶端與服務端通信的過程。
系統1-------httpClient---------------sso認證中心---------------httpClient---------系統2
| | |
| | |
| | |
| | |
-------------------------------------------------------------------------------------
防火牆
-------------------------------------------------------------------------------------
- |
- |
- |
- |
點擊登陸應用, |
用戶訪問部署了單點登錄的多系統應用群, |
一次登錄,到處使用 |
|
|
|
--------------
用戶電腦
5:實現:
1:攔截子系統未登錄用戶請求,跳轉至sso認證中心
2:接收並存儲sso認證中心發送的令牌
3:與sso-server通信,校驗令牌的有效性
4:建立局部會話
5:攔截用戶注銷請求,向sso認證中心發送注銷請求
6:接收sso認證中心發出的注銷請求,銷毀局部會話sso-server
7:驗證用戶的登錄信息
8:創建全局會話
9:創建授權令牌
10:與sso-client通信發送令牌
11:校驗sso-client令牌有效性
12:系統注冊
13:接收sso-client注銷請求,注銷所有會話
第一步:sos-client攔截未登錄請求。
第二步:sos-aerver攔截未登錄入請求。
第三步:sso-server驗證用戶登錄信息。
第四步:sso-server創建授權令牌。
第五步:sso-client取的令牌並校驗。
第六步:sso-server接收並處理校驗令牌請求。
第七步:sso-client校驗令牌成功創建局部會話。
第八步:注銷過程。
6:代碼:
/**
* Created by Mloong on 2018/7/30
* 實現單點登錄
*/
var express = require('express');
var app = express();
var bodyparser = require('body-parser');
var crypto = require('crypto');
var session = require('express-session');
var cookie = require('cookie-parser');
var path = require('path');
var multipart = require('connect-multiparty');
var multipartMiddleware = multipart();
app.use(bodyparser.json());
var mdb;
/**
* session,cookie中間件。
*/
app.use(cookie());
app.use(session({
secret: 'secret', // 對session id 相關的cookie 進行簽名
resave: true,
saveUninitialized: false, // 是否保存未初始化的會話
cookie: {
maxAge: 1000 * 60 * 3 // 設置 session 的有效時間,單位毫秒
}
}));
//app.set('tem', __dirname); //設置模板的目錄
//app.set('view engine', 'html'); // 設置解析模板文件類型:這里為html文件
//app.engine('html', require('ejs').__express); // 使用ejs引擎解析html文件中ejs語法
//app.use(bodyparser.json()); // 使用bodyparder中間件,
//app.use(bodyparser.urlencoded({ extended: true }));
/**
* 連接mongodb
*/
var MongoClient = require('mongodb').MongoClient;
var url = "mongodb://localhost:27017/runoob";
/**
* 生成令牌
* 生成token
* @return {string} return 返回值
* */
function genToken()
{
var buf = crypto.randomBytes(12);
var token = buf.toString('hex');
return token;
}
/**
* 請求數據庫
*/
MongoClient.connect(url, function (err, db)
{
if (err) throw err;
var dbo = db.db("runoob");
mdb = dbo;
});
/**
* 注冊
*/
app.get('/register', function (req, res)
{
res.sendFile(path.join(__dirname, './public/templates', 'register.html'));
});
app.post('/register', multipartMiddleware, function (req, res)
{
var username = req.body.user;
var password = req.body.pwd;
console.log(username);
mdb.collection('user').findOne({username: username}, function (err, result)
{
if (err) throw err;
if (result)
{
res.json({
ret_code: 1,
ret_msg: '用戶名已存在請更換用戶名!'
});
}
else
{
mdb.collection('user').insertOne({usernaem: username, password: password}, function (err, result)
{
if (err) throw err;
res.redirect('/login');
});
}
});
}
);
/**
* 登錄
*/
app.get('/login', function (req, res)
{
res.sendFile(path.join(__dirname, './public/templates', 'login.html'));
});
app.post('/login', function (req, res)
{
var username = req.body.user;
var password = req.body.pwd;
mdb.collection("user").findOne({username: username, password: password}, function (err, result)
{
if (err) throw err;
if (result)
{
var ticket = genToken();
mdb.collection('token').insertOne({ticket: ticket}, function (err, Lresult) {});
req.session.ticket = ticket;
res.cookie.ticket = ticket;
res.redirect('/index');
} else
{
res.json({
ret_code: 1,
ret_msg: '用戶名或密碼錯誤!'
});
}
});
});
/**
* 認證中心
*/
app.get('/authentication', function (req, res)
{
if (req.session.ticket)
{
console.log("進入認證");
var url = req.query.callback;
var token = req.session.ticket;
url = console.log(url + "?token=" + token);
res.redirect(url);
}
else
{
res.redirect('/login');
}
});
/**
* 首頁
*/
app.get('/index', function (req, res)
{
if (req.session.ticket)
{
res.sendFile(path.join(__dirname, './public/templates', 'index.html'));
}
else
{
res.redirect('/login');
}
});
/**
* 注銷
*/
app.post('/cancellation', function (req, res)
{
var token = req.session.ticket;
delete req.session.ticket;
mdb.collection('user').removeOne({ticket: token}, function (ree, result)
{
if (err) throw err;
res.redirect('/login');
});
});
var server = app.listen(8881, function ()
{
var host = server.address().address;
var port = server.address().port;
console.log("訪問地址為 http://%s:%s", host, port);
});