接着上篇的《.net core实践系列之SSO-同域实现》,这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践,但是核心点使用jquery居多。
建议看这篇文章的朋友可以先看上篇《.net core实践系列之SSO-同域实现》做一个SSO大概了解。
源码地址:https://github.com/SkyChenSky/Core.SSO.git
只要统一Token的产生和校验方式,无论授权与认证的在哪(认证系统或业务系统),也无论用户信息存储在哪(浏览器、服务器),其实都可以实现单点登录的效果
Token的生成
Token的共享
Token校验
同域
跨域
业务系统自认证
转发给认证中心认证
所有支持JavaScript 的浏览器,都必须遵守的安全策略,也是浏览器最基本的安全功能。
如果没有处理过发起跨域请求,就算服务器接收到了,响应成功了浏览器也是会拦截的。
<dl><dd></dd></dl>
指域名,协议,端口相同
浏览器为了阻止恶意脚本获取不同源上的的敏感信息。
然而在实际情况下跨域请求的场景也是存在的,解决方案有两种:
JSONP
响应头设置“Access-Control-Allow-Origin”
Cookie的读取和发送也是必须遵循同源策略的。
虽说请求共享可以设置响应头Access-Control-Allow-Credentials、Access-Control-Allow-Origin与Ajax请求属性xhrFields: {withCredentials: true}进行解决,但是!
就算响应头有set-cookie浏览器也是无法正常保存的。
针对cookie认证,我唯一能找到的解决方案就是跳转页面。
具体步骤:
认证中心登录成功后,请求登录中心接口获得token
携带token逐个跳转到业务系统的中转页面。
跳转完成后,返回到认证中心登录页面进行引导。
PS:如果哪位朋友有更加好的方案,可以及时与我沟通,非常感谢
与同域的实现的方式一致。
生成与认证是一对的,与之对应的就是AES的加密与解密。
业务系统自主认证的方式,对于系统的代码复用率与维护性都很低。如果想进行转发到认证系统进行认证,可以对[Authorize]进行重写。
大致思路是:
访问业务系统时,由自定义的[Authorize]进行拦截
获取到Token设置到请求头进行HttpPost到认证系统提供的/api/token/Authentication接口
响应给业务系统如果是成功则继续访问,如果是失败则401或者跳转到登录页。
最近事情比较多,demo与文章写的比较仓促,如果朋友们有更好的实现方式与建议,麻烦在下面评论反馈给我,先在此感谢。
作 者:
陈珙
出 处:http://www.cnblogs.com/skychen1218/
关于作者:专注于微软平台的项目开发。如有问题或建议,请多多赐教!
版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是作者坚持原创和持续写作的最大动力!