多站點單點登錄實現業務思路

　　一般來說單點認證都需要兩端來完成，在認證中心端的我們稱之為SSO，在網站端的模塊我們稱之為PSO。

　　兩個模塊之間采用二次重定向技術來實現同步兩端票據的方式來實現單點登陸。

　　為什么需要單點登錄？產品剛上線時，一般由於用戶量少，所有的功能都放在一起，一般也不需要具體的單點登錄。隨着用戶量和業務發展的需要，要求逐步將產品按功能或性能分為相應獨立的站點，並分開部署，這就需要在各個站點之間進行單點登錄，以達到用戶一次登錄，就可以使用多個站點。

一、單點登錄實現

1、簡單方法：

　　在同一個域內的站點，可以簡單的通過共享Cookie（將登錄用戶名存放Cookie中）來實現單點登錄。這種方法實現簡單，安全性方法可以通過將Cookie值加密方式加強，但對不同域下及不同開發語言下（如A站點C#，B站點C）實現麻煩。

2、推薦方法：

　　建立統一的認證中心，認證中心提供：

（1）用戶登錄認證（認證用戶名和密碼），如果成功，返回表示本次登錄的登錄Token

（2）登錄Token認證（認證Token是否正確），如果成功，返回當前登錄的用戶名

（3）延長Token有效期

（4）退出（使Token失效)

　　認證中心獨立於各個站點，單點流程一般場景如下：

　　- 用戶在站點A輸入用戶名和密碼點擊登錄

　　- 站點A將用戶名和密碼轉發給認證中心進行認證，認證中心返回Token

　　- 站點A將當前登錄用戶和Token存入Session（或Cookie）

　　- 在站點A上點擊連接訪問站點B，通過URL參數方式，將Token帶給站點B

　　- 站點B將Token轉交到認證中心，認證正確，返回當前用戶名。

　　- 站點B將當前登錄用戶和Token存入Session(或Cookie)，完成登錄流程

　　這樣的設計下的Token，還可以用在異步使用Ajax去訪問服務器端的接口（接口可能獨立部署在不同的站點下），這樣只需要帶上Token，服務器端的接口認證Token通過后，直接返回這個登錄用戶的相應用戶信息。

3、安全性考慮

（1）用戶登錄認證接口，可增加認證頻率、認證IP等限制，防止暴力攻擊。

（2）Token其實就是一串表示本次登錄的唯一字符串，可以生成字符串時，增加摘要信息。如Token的組成為：A+MD5(A+PWD) 的方式，A為隨機生成的GUID，這樣在驗證Token時，就可以直接通過算法來驗證合法性，只有算法驗證通過后，再進行下一步的操作。

　　登陸后產生一個SSO的票據，這個票據是最重要的，因為它是決定用戶是否登陸的關鍵。這個票據可以是Cookie,也可以是Session,我比較傾向於Cookie，因為現在有3DES加密，加密后篡改Cookie幾乎成為不可能，所以無論是對於服務器負擔來說還是安全性都是Cookie比較好，可能人認為萬一不支持Cookie呢，不過我想Demo應該沒問題吧，大不了我設計成兩個都支持。

　　PS，為什么不用非對稱加密？其實那個效率不高，3DES的安全性已經足夠了，至少現在還沒有人宣稱能破解。

　　在登陸后就可以通知用戶你已經登陸了，現在你可以去訪問成員站點了，這個時候用戶點擊了成員站點的URL，進去了，這個時候首先就需要接受PSO組件的盤查，你有沒有PSO的票據呢？很顯然是沒有的，所以這個時候請求就被Redirect回了認證中心，認證中心檢查用戶已經有了SSO的票據了，認為用戶已經登錄了，就把用戶的SSO票據附加在URL后邊然后Redirect回成員站點，成員站點的PSO這個時候獲取到了SSO票據，於是知道了用戶已經在認證端登錄了，於是就創建一個PSO票據，然后返回給用戶他所請求的內容。所以我們來看看其實PSO的邏輯更加復雜一點。

　　我們可以看到其實兩個模塊的功能都不算復雜，這里存在幾個現實的問題，第一個是加密問題，票據需要加密，傳輸的URL也需要加密。

　　在SSO把票據通過URL發送給PSO的時候，如果我們能夠截獲這個URL，不管他加沒有加密，在下一次我們直接用這個URL去訪問站點的時候因為已經包含SSO票據了，所以PSO會認為已經登陸了而直接產生PSO票據然后就讓用戶進去了，這顯然是一個漏洞。所以呢，我們需要在這里給這個URL加一點鹽值（所謂鹽值其實就是加點料），我們通過在URL里加入時間戳來讓這個URL具備時間限制，這個樣子URL具備失效期，過了這個時間即使截獲到了這個URL也完全沒有作用了。

二、總結：

1、什么是單點登錄？解釋：登錄一個系統后，其它系統無需再次登錄，即可進入。

　　舉個例子：

　　你登錄了淘寶，然后你進入天貓，發現你不用登錄了。這時你要注意到，淘寶跟天貓可是完全不一樣的域名。

　　你登錄淘寶后，你的瀏覽器得到了cookie，但是這個cookie是在淘寶域名下的。你的天貓域名下並沒有cookie。

　　這個時候你要想辦法讓天貓域名下也有這個相同的cookie。假設你的天貓域名下也有這個cookie。

　　當你的瀏覽器進入天貓時，你的瀏覽器會攜帶天貓域名下的cookie去服務器驗證。

　　但是這個cookie對應的可是淘寶域名下的session數據，這個時候又該如何呢。

　　從這個例子中引出兩個問題：

　　（1）跨域種cookie（可以看之前博客：跨域設置cookie的問題）

　　（2）服務端保持cookie對應的session數據是一樣的

2、解決思路