基于node.js实现简单的单点登录功能

单点登录的简单介绍

登录应该说是很常见的功能了,用户输入账号和密码,通过验证之后就可以正常访问到自己想要的资源。但是在某一些场景,比如一个大型的应用被拆分成若干个小应用部署在若干机器上,并且每一个应用都有需要被保护的资源,那么为每个应用都定制一个登录功能就显得较为繁琐了,而且对用户而言,每一次访问一个应用都要去登录,肯定体验是非常差的。要是登录过一次,就可以在访问所有互相信任的应用的资源就好了。

关于session

web应用最常用的是HTTP协议,这个应用层协议的特点就是无状态,服务器是不知道若干个请求是否是同一个用户发出的。所以就有了session和cookie这么一说。在登录成功之后,服务器通过某种存储手段记下用户的基本信息,并且在cookie中种下一个关键的key,以后只要是通向这个域名的请求,都会带上这个cookie,而服务器利用这个cookie中的key值就可以找到用户的信息,判别他身份。

单点登录到底做了什么

登录之后,你的信息就被保存在服务端了,之后的访问由于能检测到你的session,从而都是合法的。如果你想在一个应用登录之后,去其他应用不用登录都能直接访问,那么就需要去拿到你的session信息,也就是说,不同应用之间可以共享你的会话信息

认证中心

认证中心用来保存一个全局会话,可以理解为用户在这里保存了个状态,相对的,用户在应用中的状态,就是局部会话。这里我实现的逻辑是,在认证中心或者某个应用登录之后,在另一方都能登录。相反,注销一个,另一个也自动注销。

梳理下流程

假如有俩个应用A和B,还有个认证中心CAS。那么逻辑应该是这样的:

这里只画了访问A时的过程,可以看到,假如访问A时,检测到没有登录的话(也就是没有生成局部会话),那么就会检测是否含有令牌,如果有了令牌,那么就向认证中心获取用户信息,并且建立局部会话,其实从图中可以看出,如果有了令牌,说明此时已经建立过全局的会话信息。要是没有令牌,那么接下来就是重定向到CAS的登录页了,具体可以从上面的图中看出来。

同理,当访问B的时候,就是没有登录,并且没有令牌。但是由于A已经登录过了,所以存在全局会话,所以也不用再去手动输入账号密码了。

注销时发生什么

注销其实就是消除用户的session,这里的关键其实就是,当A注销的时候,不仅要消除局部的会话,还得通知认证中心把全局会话给消除了,并且认证中心要通知所有的相关应用去消除各自的局部会话。

几个场景

现在假如在认证中心和应用都没有访问过。那么:

  • 先访问A,此时需要登录,输入账号密码,最后返回资源,此时去认证中心也是直接访问,不用登录。当然另一个应用B来访问,也不用登录。
  • 先访问认证中心,输入账号和密码之后,相当于先在认证中心建立一个全局的会话。之后的应用来访问。也不用登录。
  • 用户已经登录过,然后在A应用点了注销,那么此时会重定向到登录页面,并且认证中心也要和其他已经登录的相关应用全都要注销。
    -用户在认证中心点了注销,其他相关应用也要全部注销

代码

代码是基于node.js实现的,只是实现了上述的流程,整理以后会贴出github地址,仅供参考。其实这里面还有很多细节的设计,并且涉及许多复杂的东西。

你可能感兴趣的:(node,单点登录)