cookie跨域,實現單點登入
Cookie 跨域,實現單點登入
Table title |
最近在做一個單點登入的系統整合專案,之前我們使用控制元件實現單點登入(以後可以介紹一下)。但現在為了滿足客戶需求,在不使用控制元件情況下實現單點登入,先來介紹一下單點登入。
單點登入:多個不同系統整合到統一載入個平臺,使用者在任何一個系統登入後,可以訪問這個統一載入上的所有系統。登入之後,使用者的許可權和資訊不再受某個系統的限制,即使某個系統出現故障(包括統一載入平臺),其他系統還是能正常使用的。這就需要使用者許可權等資訊儲存到客戶端,不受伺服器的限制。
在cookie相關文件資訊中,提到cookie是不能跨域訪問的,但是在二級域名是可以共享cookie的。這樣就是我們的專案有了侷限性,必須將多個系統的域名統一,作為二級域名,統一平臺提供使用主域名。這樣就可以實現cookie的單點登入了。
在這裡介紹一下cookie:
1.cookie是一個儲存在客戶端的字串屬性,可以用它對當前網頁的cookie進行讀,寫,增.刪等操作;javascript能夠用document物件的cookie屬性對cookie進行操作;
2.cookie的四個可選屬性:
2.1 cookie的生存期屬性:expires;預設情況下,cookie只在瀏覽器會話期存在.退出瀏覽器就丟失;可以用expires設定時間;退出瀏覽器後就不會丟失並存為客戶端瀏覽器的cookie檔案;過了時間後cookie失效,還會自動刪除cookie檔案.
2.2 path屬性:預設情況下,在同一個目錄下檔案可以呼叫;例如:http://hanj.com/c1/1.html設定的cookie可以被
2.3 domain屬性:例如設成".hanj.com"則在.hanj.com下的所有伺服器下的檔案都可以呼叫cookie.
2.4 安全屬性:預設情況下為false;用http協議不安全傳輸;true:用https等協議安全傳輸.
3.cookie的侷限性:
瀏覽器最多儲存300個cookie;為單個web伺服器的最多隻能儲存20個cookie;每個cookie不能超過4000個位元組.
單點登入實現環境:
子系統1:a.hanj.com
子系統2:b.hanj.com
子系統3:c.hanj.com
統一載入平臺和各子系統都是不同的伺服器,統一載入平臺提供登入認證服務,在統一載入平臺認證系統上登入後,使用者都可以被其他的系統識別。
/**函式名稱:getCookie
函式功能:獲取指定名稱的cookie的值
輸入引數:需要測試的字串
返回引數:
*/
function getSSOCookie()
{
var arrStr = document.cookie.split("; ");
for(var i =0;i < arrStr.length;i ++){
var temp = arrStr[i].split("=");
if(temp[0] =="sso") {
return unescape(temp[1]);
}
}
return"";
}
/**
函式名稱:addCookie
函式功能:新增cookie
輸入引數:需要測試的字串
返回引數:
*/
function addSSOCookie(objValue)
{
var str ="sso"+"="+ escape(objValue);
if(true){//為0時不設定過期時間,瀏覽器關閉時cookie自動消失
str +="; path=/";
}
document.cookie = str;
}
/**
函式名稱:delCookie
函式功能:刪除cookie
輸入引數:需要測試的字串
返回引數:
*/
function delCookie()
{//為了刪除指定名稱的cookie,可以將其過期時間設定為一個過去的時間
var date =new Date();
date.setTime(date.getTime() -10000);
document.cookie ="sso"+"=a; expires="+ date.toGMTString()+"; path=/";
}
使用者在統一載入平臺認證系統認證通過後,使用addSSOCookie,使用者許可權資訊儲存到了cookie中,其他平臺通過呼叫getSSOCookie,取得使用者資訊。這樣使用者就可以不再受平臺限制,而實現自由訪問各個系統了。
在addSSOCookie方法中,沒有設定cookie的失效時間,這樣在瀏覽器關閉後,cookie就自動消失。注意:這樣cookie的有效性只能在同一瀏覽器程序,如果重新打開了一個瀏覽器程序,cookie資訊是獲取不到的,也就是單點登入只能在同一個瀏覽器程序有效。如果想在不用瀏覽器程序中共享cookie資訊,那就設定失效時間,如下:
function addCookie(objValue,objHours){//新增cookievar str ="sso"+"="+ escape(objValue);
if(objHours >0){//為0時不設定過期時間,瀏覽器關閉時cookie自動消失
var date =new Date();
var ms = objHours*3600*1000;
date.setTime(date.getTime() + ms);
str +="; expires="+ date.toGMTString()+"; path=/; domain=.hanj.com";
}
document.cookie = str;
}
這樣cookie在指定的時間後失效。但這樣安全性不能保證,如果時間設定太短,使用者在使用中,可能cookie就失效了,需要重新登入。如果時間過長,使用者在下次訪問,或電腦重起訪問,cookie還在有效期中,有可能別其他人使用。cookie不能準確的刪除,存在安全隱患。