之前我们开发的一系列的系统应用,其实面向的客户是某一定向群体,不过入口各式各样;于是公司项目管理部,开发了一套统一认证中心平台,用于公司的统一管理各部分业务群体。
在对接的过程中,也了解了下单点登录的整个流程,实现单点登录的关键在于:
如何让 Session ID(或 Token)在多个域中共享。
目前了解了以下三种:
- 统一认证中心(一个专门负责处理登录请求的独立的 Web 服务)
- 父级域名共享cookie(父域中的 Cookie 可以被子域所共享)
- localStorage 共享
我们选择了第一种——认证中心的方案
认证中心
用户统一在认证中心进行登录,登录成功后,认证中心记录用户的登录状态,并将 Token 写入 Cookie。(注意这个 Cookie 是认证中心的,应用系统是访问不到的。)
我们的系统会检查当前请求有没有 Token,如果没有,说明用户在当前系统中尚未登录,那么就将页面跳转至认证中心(指定的认证接口URL,一般会带上clientId,用于标识当前是哪个应用跳转的认证)。
认证中心等待用户登录,跳转回目标 URL ,并在跳转前生成一个 Token,拼接在目标 URL 的后面,回传给我们的系统。
我们系统拿到 Token 之后,还需要向认证中心确认下 Token 的合法性,防止用户伪造。
一般是拿到这个token发送一个请求给后台,确认无误后✅,应用系统记录用户的登录状态,并将 Token 写入 Cookie,然后给本次访问放行。
(注意这个 Cookie 是当前应用系统的,其他应用系统是访问不到的。)
当用户再次访问当前应用系统时,就会自动带上这个 Token,应用系统验证 Token 发现用户已登录,于是就不会有认证中心什么事了。
因此,我们在处理状态码401的时候,做一些转换就好了,把原来的401,鉴权没通过时的处理,换成请求认证中心鉴权接口。
同时,我们在应用的鉴权层securityLayout中,也加上了这层处理
父级域名共享cookie
Cookie 有一个特点,即父域中的 Cookie 被子域所共享。
利用 Cookie 的这个特点,将 Token 保存到父域中不就行了。只要将 Cookie 的 domain 属性设置为父域的域名(主域名),同时将 Cookie 的 path 属性设置为根路径,这样所有的子域应用共享这个 Cookie 了。
假设a.alipay.com 和 b.alipay.com,它们都建立在 alipay.com 这个主域名之下,那么它们就可以通过这种方式来实现。
不过,这要求应用系统的域名需建立在一个共同的主域名之下,很多时候这个条件并不能满足。
localStorage 共享
因为多个不同域下的页面无法共享本地存储数据,我们需要找个“中转页面”来统一处理其它页面的存储数据。
用iframe + postMessage可跨域特性,来实现跨域存储。这是用“曲线救国”的方式,变向来共享存储数据
参考
- localStorage跨域共享解析
- sso介绍