誰(shuí)都能看懂的單點(diǎn)登錄（SSO）實(shí)現(xiàn)方式（附源碼）

SSO的基本概念

SSO英文全稱(chēng)Single Sign On（單點(diǎn)登錄）。SSO是在多個(gè)應(yīng)用系統(tǒng)中，用戶(hù)只需要登錄一次就可以訪(fǎng)問(wèn)所有相互信任的應(yīng)用系統(tǒng)。它包括可以將這次主要的登錄映射到其他應(yīng)用中用于同一個(gè)用戶(hù)的登錄的機(jī)制。它是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。（本段內(nèi)容來(lái)自百度百科）

今天這篇文章將介紹SSO的一種實(shí)現(xiàn)方式，代碼超簡(jiǎn)單，僅用來(lái)驗(yàn)證我的思路是否可行，具體細(xì)節(jié)請(qǐng)大家來(lái)完善！

二級(jí)域名的單點(diǎn)登錄

什么是二級(jí)域名呢？例如：

• site1.domain.com
• site2.domain.com

對(duì)于二級(jí)域名的單點(diǎn)登錄，我們可以非常方便的通過(guò)共享cookie來(lái)實(shí)現(xiàn)，簡(jiǎn)單的說(shuō)，就是在設(shè)置Form票據(jù)的時(shí)候，將cookie的domain設(shè)置為頂級(jí)域名即可，例如：

HttpCookie cookie = new HttpCookie(FormsAuthCookieName, encryptedTicket);cookie.Expires = rememberMe ? expirationDate : DateTime.MinValue;cookie.HttpOnly = true;cookie.Path = "/";cookie.Domain = "domain.com";context.Response.Cookies.Set(cookie);

這種方式不涉及跨域，當(dāng)cookie的domain屬性設(shè)置為頂級(jí)域名之后，所有的二級(jí)域名都可以訪(fǎng)問(wèn)到身份驗(yàn)證的cookie，在服務(wù)器端只要驗(yàn)證了這個(gè)cookie就可以實(shí)現(xiàn)身份的驗(yàn)證。

但是，當(dāng)跨域的時(shí)候，例如：

• site1.com
• site2.com

這個(gè)時(shí)候就不能共享cookie了，所以上面的解決方案就會(huì)失效。那么，要實(shí)現(xiàn)跨域的單點(diǎn)登錄該如何做呢？請(qǐng)繼續(xù)往下看。

跨域的單點(diǎn)登錄

關(guān)于跨域的SSO的設(shè)計(jì)思路，我畫(huà)了一個(gè)簡(jiǎn)單的流程圖：

首先，我將跨域的SSO分為SSO-Server和SSO-Client兩個(gè)部分，SSO-Client可以是多個(gè)的。

SSO-Server

SSO-Server主要負(fù)責(zé)用戶(hù)登錄、注銷(xiāo)、為SSO-Client分配taken、驗(yàn)證taken的工作。

登錄和注銷(xiāo)采用的是Form認(rèn)證方式，很多地方都有詳細(xì)的介紹，我之前也寫(xiě)過(guò)一篇文章，想了解的可以去看看：asp.net Forms身份驗(yàn)證詳解

SSO-Server分配Token

為SSO-Client分配Token的部分，在SSO-Client請(qǐng)求SSO受信頁(yè)面的時(shí)候，檢查SSO-Server是否登錄，如果沒(méi)有登錄則跳轉(zhuǎn)到SSO-Server的登錄頁(yè)面，如果已登錄，則執(zhí)行分配Token的代碼，在分配完成以后將TokenID作為參數(shù)添加到returnUrl中，并跳轉(zhuǎn)到returnUrl，具體的分配代碼如下：

if (Domain.Security.SmartAuthenticate.LoginUser != null){    //生成Token，并持久化Token    Domain.SSO.Entity.SSOToken token = new Entity.SSOToken();        token.User = new Entity.SSOUser();    token.User.UserName = Domain.Security.SmartAuthenticate.LoginUser.UserName;    token.LoginID = session.SessionID;    Domain.SSO.Entity.SSOToken.SSOTokenList.Add(token);    //拼接返回的url，參數(shù)中帶Token    string spliter = returnUrl.Contains('?') ? "&" : "?";    returnUrl = returnUrl + spliter + "token=" + token.ID;    Response.Redirect(returnUrl);}

當(dāng)完成Token分配之后，頁(yè)面將帶有TokenID的參數(shù)跳轉(zhuǎn)到SSO-Client頁(yè)面，并在SSO-Client的Cookie中添加Token值，在以后的每次請(qǐng)求中，SSO-Client通過(guò)調(diào)用SSO-Server的服務(wù)來(lái)驗(yàn)證Token的合法性。

SSO-Server驗(yàn)證Token

我是通過(guò)WebService來(lái)驗(yàn)證Token的。

首先在SSO-Server定義一個(gè)Web Service：

[WebMethod]public Entity.SSOToken ValidateToken(string tokenID){    if (!KeepToken(tokenID))        return null;    var token = Domain.SSO.Entity.SSOToken.SSOTokenList.Find(m => m.ID == tokenID);    return token;}[WebMethod]public bool KeepToken(string tokenID){    var token = Domain.SSO.Entity.SSOToken.SSOTokenList.Find(m => m.ID == tokenID);    if (token == null)        return false;    if (token.IsTimeOut())        return false;    token.AuthTime = DateTime.Now;    return true;}

ValidateToken用來(lái)驗(yàn)證TokenID的合法性，KeepToken用來(lái)保持Token不會(huì)過(guò)期。

SSO-Client通過(guò)調(diào)用Validate驗(yàn)證Token，并得到當(dāng)前的登錄用戶(hù)信息。接下來(lái)看看SSO-Client的實(shí)現(xiàn)。

SSO-Client

SSO-Client作為受信系統(tǒng)來(lái)存在的，它自己沒(méi)有認(rèn)證系統(tǒng)，只能通過(guò)SSO-Server來(lái)完成用戶(hù)身份認(rèn)證的工作。

當(dāng)用戶(hù)請(qǐng)求SSO-Client的受保護(hù)資源時(shí)，SSO-Client會(huì)首先是否有TokenID，如果存在TokenID，則調(diào)用SSO-Server的WebService來(lái)驗(yàn)證這個(gè)TokenID是否合法；

驗(yàn)證成功以后將會(huì)返回SSOToken的實(shí)例，里面包含已登錄的用戶(hù)信息。具體代碼如下：

if (!string.IsNullOrEmpty(tokenID)){    AuthTokenService.AuthTokenServiceSoapClient client = new AuthTokenService.AuthTokenServiceSoapClient();    var token = client.ValidateToken(tokenID);    if (token != null)    {        this.lblMessage.Text = "登錄成功，登錄用戶(hù)："            + token.User.UserName            + "<a             + Server.UrlEncode("http://sso-client.com")            + "'>退出</a>";    }    else    {        Response.Redirect("http://sso-server.com/sso.aspx?returnUrl=" +            Server.UrlEncode("http://sso-client.com/default.aspx"));    }}else{    Response.Redirect("http://sso-server.com/sso.aspx?returnUrl=" +        Server.UrlEncode("http://sso-client.com/default.aspx"));}

源代碼

文章中已經(jīng)介紹了我的具體思路和一些實(shí)現(xiàn)，如果你仍然感興趣，可以下載我的代碼>>Demo.SSO

源代碼的部署：

1. 在IIS中創(chuàng)建兩個(gè)站點(diǎn)，分別綁定到SSO-Server和SSO-Client，它們綁定的域名分別是sso-server.com和sso-client.com

2. 在hosts文件中添加兩行映射，將sso-server.com和sso-client.com映射到127.0.0.1，確保可以訪(fǎng)問(wèn)

3.訪(fǎng)問(wèn)sso-client.com，這個(gè)時(shí)候頁(yè)面將跳轉(zhuǎn)到sso-server.com的登錄頁(yè)面，用戶(hù)名、密碼隨便輸入，然后點(diǎn)擊登錄即可

我很認(rèn)真的完成了這個(gè)方案，也感謝你很認(rèn)真的看完！歡迎拍磚！