誰都能看懂的單點登錄

誰都能看懂的單點登錄（SSO）實現(xiàn)方式SSO的基本概念SSO英文全稱SingleSignOn（單點登錄）。SSO是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。它包括可以將這次主要的登錄映射到其他應(yīng)用中用于同一個用戶的登錄的機制。它是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。（本段內(nèi)容來自百度百科）今天這篇文章將介紹SSO的一種實現(xiàn)方式，代碼超簡單，僅用來驗證我的思路是否可行，具體細節(jié)請大家來完善!二級域名的單點登錄什么是二級域名呢？例如:sitel.domaisite2.domai對于二級域名的單點登錄，我們可以非常方便的通過共享cookie來實現(xiàn)，簡單的說,就是在設(shè)置Form票據(jù)的時候，將cookie的domain設(shè)置為頂級域名即可，例如：HttpCookiecookie=newHttpCookie(FormsAuthCookieName,IIencryptedTicket);IIcookie.Expires=rememberMe?expirationDate:DateTime?MinValue;Icookie.HttpOnly=true;cookie.Path="/";cookie.Domain="";context.Response.Cookies?Set(cookie);這種方式不涉及跨域，當(dāng)cookie的domain屬性設(shè)置為頂級域名之后，所有的二級域名都可以訪問到身份驗證的cookie，在服務(wù)器端只要驗證了這個cookie就可以實現(xiàn)身份的驗證。但是，當(dāng)跨域的時候，例如：這個時候就不能共享cookie了，所以上面的解決方案就會失效。那么，要實現(xiàn)跨域的單點登錄該如何做呢？請繼續(xù)往下看?？缬虻膯吸c登錄關(guān)于跨域的SSO的設(shè)計思路，我畫了一個簡單的流程圖:

杲杲_sso-client返|i首先，我將跨域的SSO分為SSO-Server和SSO-Client兩個部分，SSO-Client可以是多個的。SSO-ServerSSO-Server主要負責(zé)用戶登錄、注銷、為SSO-Client分配taken、驗證taken的工作。登錄和注銷采用的是Form認證方式，很多地方都有詳細的介紹，我之前也寫過一篇文章，想了解的可以去看看：asp.netForms身份驗證詳解SSO-Server分配Token為SSO-Client分配Token的部分，在SSO-Client請求SSO受信頁面的時候，檢查SSO-Server是否登錄，如果沒有登錄則跳轉(zhuǎn)到SSO-Server的登錄頁面，如果已登錄，則執(zhí)行分配Token的代碼，在分配完成以后將TokenID作為參數(shù)添加到returnUrl中，并跳轉(zhuǎn)到returnUrl，具體的分配代碼如下：T IIif(Domain.Security.SmartAuthenticate.LoginUser!=null)I{I1: //生成Token，并持久化TokenIIfDomain.SSO.Entity.SSOTokentoken=newEntity.SSOToken();1IIII1itoken.User=newEntity.SSOUser();1itoken.User?UserName=I1IDomain.Security.SmartAuthenticate.LoginUser.UserName;IItoken.LoginID=Session.SessionID;IIDomain.SSO.Entity.SSOToken.SSOTokenList?Add(token);IIIII: //拼接返回的url，參數(shù)中帶TokenIIIstringspliter=returnUrl.Contains('?')?"&":"?";IIreturnUrl=returnUrl+spliter+"token="+token.ID;IIIResponse.Redirect(returnUrl);II}當(dāng)完成Token分配之后，頁面將帶有TokenID的參數(shù)跳轉(zhuǎn)到SSO-Client頁面，并在SSO-Client的Cookie中添加Token值，在以后的每次請求中，SSO-Client通過調(diào)用SSO-Server的服務(wù)來驗證Token的合法性。SSO-Server驗證Token我是通過WebService來驗證Token的。首先在SSO-Server定義一個WebService：II[WebMethod]publicEntity.SSOTokenValidateToken(stringtokenID)III{II;if(!KeepToken(tokenID))IIIreturnnull;IIIIIIIvartoken=Domain.SSO.Entity.SSOToken.SSOTokenList.Find(m=>IIm.ID==tokenID);IIIreturntoken;II}IiTIII■[WebMethod]publicboolKeepToken(stringtokenID)Iif{Ittvartoken=Domain.SSO.Entity.SSOToken.SSOTokenList.Find(m=>Im.ID==tokenID);if(token==null)returnfalse;if(token.IsTimeOut())returnfalse;token.AuthTime=DateTime.Now;returntrue;}ValidateToken用來驗證TokenID的合法性，KeepToken用來保持Token不會過期。SSO-Client通過調(diào)用Validate驗證Token,并得到當(dāng)前的登錄用戶信息。接下來看看SSO-Client的實現(xiàn)。SSO-ClientSSO-Client作為受信系統(tǒng)來存在的，它自己沒有認證系統(tǒng)，只能通過SSO-Server來完成用戶身份認證的工作。當(dāng)用戶請求SSO-Client的受保護資源時，SSO-Client會首先是否有TokenID,如果存在TokenID,則調(diào)用SSO-Server的WebService來驗證這個TokenID是否合法；驗證成功以后將會返回SSOToken的實例，里面包含已登錄的用戶信息。具體代碼如下:if(!string.IsNullOrEmpty(tokenID))II{IIIAuthTokenService?AuthTokenServiceSoapClientclient=newIIAuthTokenService?AuthTokenServiceSoapClient();IIvartoken=client.ValidateToken(tokenID);IIiif(token!=null)II{II； this.lblMessage.Text="登錄成功，登錄用戶："II+token.User?UserNameIII+"<aIIIhref='/logout?aspx?returnUrl="II+Server?UrlEncode("")II; +"'>退出</a>";II}IIelseIII:{IIIIIIIIResponse.Redirect("http://sso-server?com/sso.aspx?returnUrl="+IIIIIIIIServer?UrlEncode("/default?aspx"));}else{Response.Redirecp://sso-server?com/sso.aspx?returnUr1="+Server?UrlEncode("hTTp:///defauIT.aspx"));}源代碼文章中