2. 程式人生 > >.net core實踐系列之SSO-跨域實現

.net core實踐系列之SSO-跨域實現

阿新 發佈:2018-10-21
mes app dem .data let nco 具體步驟 field dir

前言

接著上篇的《.net core實踐系列之SSO-同域實現》,這次來聊聊SSO跨域的實現方式。這次雖說是.net core實踐,但是核心點使用jquery居多。

建議看這篇文章的朋友可以先看上篇《.net core實踐系列之SSO-同域實現》做一個SSO大概了解。

源碼地址:https://github.com/SkyChenSky/Core.SSO.git

效果圖

技術分享圖片

知識點回顧

實現原則

只要統一Token的產生和校驗方式,無論授權與認證的在哪(認證系統或業務系統),也無論用戶信息存儲在哪(瀏覽器、服務器),其實都可以實現單點登錄的效果

實現關鍵點

  • Token的生成
  • Token的共享
  • Token校驗

Token共享復雜度

  • 同域
  • 跨域

Token認證方式

  • 業務系統自認證
  • 轉發給認證中心認證

同源策略

所有支持JavaScript 的瀏覽器,都必須遵守的安全策略,也是瀏覽器最基本的安全功能。

如果沒有處理過發起跨域請求,就算服務器接收到了,響應成功了瀏覽器也是會攔截的。

同源

指域名,協議,端口相同

目的

瀏覽器為了阻止惡意腳本獲取不同源上的的敏感信息。

跨域請求

然而在實際情況下跨域請求的場景也是存在的,解決方案有兩種:

  • JSONP
  • 響應頭設置“Access-Control-Allow-Origin”

Cookie

Cookie的讀取和發送也是必須遵循同源策略的。

雖說請求共享可以設置響應頭Access-Control-Allow-Credentials、Access-Control-Allow-Origin與Ajax請求屬性xhrFields: {withCredentials: true}進行解決,但是!

就算響應頭有set-cookie瀏覽器也是無法正常保存的。

SSO跨域解決方式

針對cookie認證,我唯一能找到的解決方案就是跳轉頁面。

具體步驟:

  1. 認證中心登錄成功後,請求登錄中心接口獲得token
  2. 攜帶token逐個跳轉到業務系統的中轉頁面。
  3. 跳轉完成後,返回到認證中心登錄頁面進行引導。

PS:如果哪位朋友有更加好的方案,可以及時與我溝通,非常感謝

實現方式

登錄中心授權

<script>
    $(function () {
        $("#submit").click(function () {
            $("#postForm").ajaxSubmit(function (result) {
                if (result.success) {
                    var token = getToken();
                    if (token) {
                        var authorizeHostArray = new Array(
                            "http://www.web1.com/Token/Authorization",
                            "http://www.web2.com/Token/Authorization"
                        );
                        var authorizeHostParams = "";
                        authorizeHostArray.forEach(function (item) {
                            authorizeHostParams += "&hostAuthorization=" + item;
                        });
                        window.location.href = authorizeHostArray[0] + "?token=" + token + authorizeHostParams;
                    }
                } else {
                    alert(result.msg);
                }
            });
        });

        function getToken() {
            var token = null;
            $.ajax({
                url: "/api/Token",
                type: "GET",
                async: false,
                success: function (d) {
                    token = d.token;
                }
            });
            return token;
        }
    });
</script>

業務系統Token保存與註銷

public class TokenController : Controller
    {
        public static TokenCookieOptions CookieOptions { get; set; }

        public IActionResult Authorization(string token, List<string> hostAuthorization = null)
        {
            if (CookieOptions == null || string.IsNullOrEmpty(token))
                return BadRequest();

            HttpContext.Response.Cookies.Append(CookieOptions.Name, token, new CookieOptions
            {
                Domain = CookieOptions.Domain,
                Expires = DateTimeOffset.UtcNow.Add(CookieOptions.Expires),
                HttpOnly = CookieOptions.HttpOnly,
                IsEssential = CookieOptions.IsEssential,
                MaxAge = CookieOptions.MaxAge,
                Path = CookieOptions.Path,
                SameSite = CookieOptions.SameSite
            });

            if (hostAuthorization.Any())
                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())
                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData
            {
                Token = token,
                HostAuthorization = hostAuthorization
            });
        }

        public IActionResult Logout(List<string> hostAuthorization = null)
        {
            HttpContext.Response.Cookies.Delete(CookieOptions.Name);

            if (hostAuthorization.Any())
                hostAuthorization = hostAuthorization.Where(a => !a.Contains(HttpContext.Request.Host.Host)).ToList();

            if (!hostAuthorization.Any())
                hostAuthorization = new List<string> { "http://www.sso.com" };

            return View(new TokenViewData
            {
                HostAuthorization = hostAuthorization
            });
        }
    }

Token生成與認證

與同域的實現的方式一致。

生成與認證是一對的,與之對應的就是AES的加密與解密。

public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();
            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(options =>
               {
                   options.Cookie.Name = "Token";
                   options.Cookie.HttpOnly = true;
                   options.ExpireTimeSpan = TimeSpan.FromMinutes(30);
                   options.LoginPath = "/Account/Login";
                   options.LogoutPath = "/Account/Logout";
                   options.SlidingExpiration = true;
                   //options.DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"D:\sso\key"));
                   options.TicketDataFormat = new TicketDataFormat(new AesDataProtector());
                   TokenController.CookieName = options.Cookie.Name;
               });
        }
internal class AesDataProtector : IDataProtector
    {
        private const string Key = "!@#13487";

        public IDataProtector CreateProtector(string purpose)
        {
            return this;
        }

        public byte[] Protect(byte[] plaintext)
        {
            return AESHelper.Encrypt(plaintext, Key);
        }

        public byte[] Unprotect(byte[] protectedData)
        {
            return AESHelper.Decrypt(protectedData, Key);
        }
    }

業務系統自主認證的方式,對於系統的代碼復用率與維護性都很低。如果想進行轉發到認證系統進行認證,可以對[Authorize]進行重寫。

大致思路是:

訪問業務系統時,由自定義的[Authorize]進行攔截

獲取到Token設置到請求頭進行HttpPost到認證系統提供的/api/token/Authentication接口

響應給業務系統如果是成功則繼續訪問,如果是失敗則401或者跳轉到登錄頁。

結尾

最近事情比較多,demo與文章寫的比較倉促,如果朋友們有更好的實現方式與建議,麻煩在下面評論反饋給我,先在此感謝。

.net core實踐系列之SSO-跨域實現

相關推薦

.net core實踐系列SSO-實現

mes app dem .data let nco 具體步驟 field dir 前言 接著上篇的《.net core實踐系列之SSO-同域實現》,這次來聊聊SSO跨域的實現方式。這次雖說是.net core實踐,但是核心點使用jquery居多。 建議看這篇文章的朋友可

.net core實踐系列SSO-實現 .net core實踐系列SSO-同實現 .net core實踐系列SSO-同實現

前言 接著上篇的《.net core實踐系列之SSO-同域實現》,這次來聊聊SSO跨域的實現方式。這次雖說是.net core實踐,但是核心點使用jquery居多。 建議看這篇文章的朋友可以先看上篇《.net core實踐系列之SSO-同域實現》做一個SSO大概瞭解。 原始碼地址:https://git

.net core實踐系列SSO-同實現

前言 SSO的系列還是以.Net Core作為實踐例子與大家分享,SSO在Web方面複雜度分同域與跨域。本篇先分享同域的設計與實現,跨域將在下篇與大家分享。 如有需要除錯demo的,可把SSO專案部署為域名http://sso.cg.com/,Web1專案部署為http://web1.cg.com,htt

.net core實踐系列簡訊服務-Sikiro.SMS.Bus服務的實現

前言 本篇會繼續講解Sikiro.SMS.Bus的服務實現,此實現是基於開篇的架構設計的擁有排程任務服務,在最後一篇會給架構優化的,拋棄了排程任務服務使用MQ代替。 原始碼地址:https://github.com/SkyChenSky/Sikiro.SMS 功能流程描述 如上圖所示,消費者訂

.net core實踐系列簡訊服務-Sikiro.SMS.Job服務的實現

前言 本篇會繼續講解Sikiro.SMS.Job服務的實現,在我寫第一篇的時候,我就發現我當時設計的架構裡Sikiro.SMS.Job這個可以選擇不需要,而使用MQ代替。但是為了說明排程任務使用實現也堅持寫了下。後面會一篇針對架構、實現優化的講解。 原始碼地址:https://github.com/Sky

.net core實踐系列簡訊服務-架構優化

前言 通過前面的幾篇文章,講解了一個簡訊服務的架構設計與實現。然而初始方案並非100%完美的,我們仍可以對該架構做一些優化與調整。 同時我也希望通過這篇文章與大家分享一下,我的架構設計理念。 原始碼地址:https://github.com/SkyChenSky/Sikiro.SMS/tree/opti

跟我學: 使用 fireasy 搭建 asp.net core 專案系列二 —— 準備

==== 目錄 ====   跟我學: 使用 fireasy 搭建 asp.net core 專案系列之一 —— 開篇   跟我學: 使用 fireasy 搭建 asp.net core 專案系列之二 ——

跟我學: 使用 fireasy 搭建 asp.net core 專案系列三 —— 配置

==== 目錄 ====   跟我學: 使用 fireasy 搭建 asp.net core 專案系列之一 —— 開篇   跟我學: 使用 fireasy 搭建 asp.net core 專案系列之二 ——

.NET Core微服務基於Jenkins+Docker實現持續部署(Part 1)

一、CI, CD 與Jenkins   網際網路軟體的開發和釋出,已經形成了一套標準流程,最重要的組成部分就是持續整合(Continuous integration,簡稱 CI) => 持續整合指的是,頻繁地(一天多次)將程式碼整合到主幹。   它的好處主要有兩個: 快速發現錯

.NET Core微服務基於Polly+AspectCore實現熔斷與降級機制

一、熔斷、降級與AOP 1.1 啥是熔斷?   在廣義的解釋中,熔斷主要是指為控制股票、期貨或其他金融衍生產品的交易風險,為其單日價格波動幅度規定區間限制,一旦成交價觸及區間上下限,交易則自動中斷一段時間(“熔即斷”),或就此“躺平”而不得超過上限或下限(“熔而不斷”)。   而對於微服務來說,

.NET Core微服務基於Ocelot+Butterfly實現分散式追蹤

一、什麼是Tracing?   微服務的特點決定了功能模組的部署是分散式的,以往在單應用環境下,所有的業務都在同一個伺服器上,如果伺服器出現錯誤和異常,我們只要盯住一個點,就可以快速定位和處理問題,但是在微服務的架構下,大部分功能模組都是單獨部署執行的,彼此通過匯流排互動,都是無狀態的服務,這種架構下,

.NET Core微服務基於Ocelot+IdentityServer實現統一驗證與授權

一、案例結構總覽  這裡,假設我們有兩個客戶端(一個Web網站,一個移動App),他們要使用系統

net core天馬行空系列:原生DI+AOP實現spring boot註解式程式設計

       寫過spring boot之後,那種無處不在的註解讓我非常喜歡,比如屬性注入@autowire,配置值注入@value,宣告式事物@Transactional等,都非常簡潔優雅,那麼我就在想,這些在net core裡能實現麼?經過一番摸索,終於實現並整理成

NET Core應用框架BitAdminCore框架應用篇系列

net EDA clas IE span targe slist target nco BitAdminCore是基於NET Core2.0的後端快速開發框架,本篇主要目標是介紹如何使用框架開發應用。框架的一些特性等。 系列鏈接 BitAdminCore框架應用

.NET Core實戰專案CMS 第十四章 開發篇-防止站請求偽造(XSRF/CSRF)攻擊處理

通過 ASP.NET Core,開發者可輕鬆配置和管理其應用的安全性。 ASP.NET Core 中包含管理身份驗證、授權、資料保護、SSL 強制、應用機密、請求防偽保護及 CORS 管理等等安全方面的處理。 通過這些安全功能,可以生成安全可靠的 ASP.NET Core 應用。而我們這一章就來說道說道如何在

ASP.NET Core Authentication系列(四)基於Cookie實現多應用間單點登入(SSO

前言 === 本系列前三篇文章分別從ASP\.NET Core認證的三個重要概念,到如何實現最簡單的登入、登出和認證,再到如何配置Cookie 選項,來介紹如何使用ASP\.NET Core認證。感興趣的可以瞭解一下。 - [ASP.NET Core Authentication系列(一)理解Claim,

程序設計基石與實踐系列按值傳遞還是按引用

有趣 name align pos str 堆棧 技術分享 easy pan 從簡單的樣例開始.如果我們要交換兩個整形變量的值,在C/C++中怎麽做呢?我們來看多種方式,哪種能夠做到.void call_by_ref(int &p,int &q) { //

深度學習實踐系列--身份證上漢字及數字識別系統的實現(上)

手動 ear 常用 env 窗口 mic 文件下載 oot edr 前言: 本文章將記錄我利用深度學習方法實現身份證圖像的信息識別系統的實現過程,及學習到的心得與體會。本次實踐是我投身AI的初次系統化的付諸實踐,意義重大,讓自己成長許多。終於有空閑的時間,將其

[置頂]【實用 .NET Core開發系列】- 導航篇

ati res pos dock 持續集成 cat swa bapi vue 前言 此系列從出發點來看,是 上個系列的續篇, 上個系列因為後面工作的原因,後面幾篇沒有寫完,後來.NET Core出來之後,註意力就轉移到了.NET Core上,所以再也就沒有繼續下去,此是原因

.NET Core容器化多容器應用部署-使用Docker-Compose

gre server rebuild asp ack 進行 add view created 1.引言 緊接上篇.NET Core容器化@Docker,這一節我們先來介紹如何使用Nginx來完成.NET Core應用的反向代理,然後再介紹多容器應用的部署問題。 2.