知識星球來自:農碼一生
連結:https://www.cnblogs.com/zhaopei/p/SSO.html
閱讀目錄
-
單點登入(SSO)原理
-
手擼一個SSO
-
IdentityServer4實現SSO
原始碼地址(demo可配置資料庫連線後直接執行)
推薦閱讀
什麼是單點登入?
我想肯定有一部分人“望文生義”的認為單點登入就是一個使用者只能在一處登入,其實這是錯誤的理解(我記得我第一次也是這麼理解的)。
單點登入指的是多個子系統只需要登入一個,其他系統不需要登入了(一個瀏覽器內)。一個子系統退出,其他子系統也全部是退出狀態。
如果你還是不明白,我們舉個實際的例子把。比如部落格園首頁:
https://www.cnblogs.com,和部落格園的找找看http://zzk.cnblogs.com。這就是兩個系統(不同的域名)。如果你登入其中一個,另一個也是登入狀態。如果你退出一個,另一個也是退出狀態了。
那麼這是怎麼實現的呢?這就是我們今天要分析的問題了。
單點登入(SSO)原理
-
首先我們需要一個認證中心(Service),和兩個子系統(Client)。
-
當瀏覽器第一次訪問Client1時,處於未登入狀態 -> 302到認證中心(Service) -> 在Service的登入頁面登入(寫入Cookie記錄登入資訊) -> 302到Client1(寫入Cookie記錄登入資訊)
-
第二次訪問Client1 -> 讀取Client1中Cookie登入資訊 -> Client1為登入狀態
-
第一次訪問Client2 -> 讀取Client2中Cookie中的登入資訊 -> Client2為未登入狀態 -> 302到在Service(讀取Service中的Cookie為登入狀態) -> 302到Client2(寫入Cookie記錄登入資訊)
我們發現在訪問Client2的時候,中間時間經過了幾次302重定向,並沒有輸入使用者名稱密碼去登入。使用者完全感覺不到,直接就是登入狀態了。
圖解
手擼一個SSO
環境:.NET Framework 4.5.2
Service:
///
/// 登入
///
///
///
///
///
[]
public string Login(string name, string passWord, string backUrl)
{
if (true)//TODO:驗證使用者名稱密碼登入
{
//用Session標識會話是登入狀態
Session[“user”] = “XX已經登入”;
//在認證中心 儲存客戶端Client的登入認證碼
TokenIds.Add(Session.SessionID, Guid.NewGuid());
}
else//驗證失敗重新登入
{
return “/Home/Login”;
}
return backUrl + “?tokenId=” + TokenIds[Session.SessionID];//生成一個tokenId 發放到客戶端
}
Client:
public static List<string> Tokens = new List<string>();
public async Task Index()
{
var tokenId = Request.QueryString["tokenId"];
//如果tokenId不為空,則是由Service302過來的。
if (tokenId != null)
{
using (HttpClient http = new HttpClient())
{
//驗證Tokend是否有效
var isValid = await http.GetStringAsync("http://localhost:8018/Home/TokenIdIsValid?tokenId=" + tokenId);
if (bool.Parse(isValid.ToString()))
{
if (!Tokens.Contains(tokenId))
{
//記錄登入過的Client (主要是為了可以統一登出)
Tokens.Add(tokenId);
}
Session["token"] = tokenId;
}
}
}
//判斷是否是登入狀態
if (Session["token"] == null || !Tokens.Contains(Session["token"].ToString()))
{
return Redirect("http://localhost:8018/Home/Verification?backUrl=http://localhost:26756/Home");
}
else
{
if (Session["token"] != null)
Session["token"] = null;
}
return View();
}
效果圖
當然,這隻是用較少的程式碼擼了一個較簡單的SSO。僅用來理解,勿用於實際應用。
IdentityServer4實現SSO
環境:.NET Core 2.0
上面我們手擼了一個SSO,接下來我們看看.NET裡的IdentityServer4怎麼來使用SSO。
首先建一個IdentityServer4_SSO_Service(MVC專案),再建兩個IdentityServer4_SSO_Client(MVC專案)
在Service專案中用nuget匯入IdentityServer4 2.0.2、IdentityServer4.AspNetIdentity 2.0.0、IdentityServer4.EntityFramework 2.0.0
在Client專案中用nuget匯入IdentityModel 2.14.0
然後分別設定Service和Client專案啟動埠為 5001(Service)、5002(Client1)、5003(Client2)
在Service中新建一個類Config:
public class Config
{
public static IEnumerable GetIdentityResources()
{
return new List
{
new IdentityResources.OpenId(),
new IdentityResources.Profile(),
};
}
public static IEnumerable GetApiResources()
{
return new List
{
new ApiResource("api1", "My API")
};
}
// 可以訪問的客戶端
public static IEnumerable GetClients()
{
return new List
{
// OpenID Connect hybrid flow and client credentials client (MVC)
//Client1
new Client
{
ClientId = "mvc1",
ClientName = "MVC Client1",
AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
RequireConsent = true,
ClientSecrets =
{
new Secret("secret".Sha256())
},
RedirectUris = { "http://localhost:5002/signin-oidc" }, //註意埠5002 是我們修改的Client的埠
PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
AllowedScopes =
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
"api1"
},
AllowOfflineAccess = true
},
//Client2
new Client
{
ClientId = "mvc2",
ClientName = "MVC Client2",
AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
RequireConsent = true,
ClientSecrets =
{
new Secret("secret".Sha256())
},
RedirectUris = { "http://localhost:5003/signin-oidc" },
PostLogoutRedirectUris = { "http://localhost:5003/signout-callback-oidc" },
AllowedScopes =
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
"api1"
},
AllowOfflineAccess = true
}
};
}
}
新增一個ApplicationDbContext類繼承於IdentityDbContext:
public class ApplicationDbContext : IdentityDbContext<IdentityUser>
{
public ApplicationDbContext(DbContextOptions options)
: base(options)
{
}
protected override void OnModelCreating(ModelBuilder builder)
{
base.OnModelCreating(builder);
}
}
在檔案appsettings.json中配置資料庫連線字串:
"ConnectionStrings": {
"DefaultConnection": "Server=(local);Database=IdentityServer4_Demo;Trusted_Connection=True;MultipleActiveResultSets=true"
}
在檔案Startup.cs的ConfigureServices方法中增加:
public void ConfigureServices(IServiceCollection services)
{
services.AddDbContext(options =>
options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"))); //資料庫連線字串
services.AddIdentity()
.AddEntityFrameworkStores()
.AddDefaultTokenProviders();
services.AddMvc();
string connectionString = Configuration.GetConnectionString("DefaultConnection");
var migrationsAssembly = typeof(Startup).GetTypeInfo().Assembly.GetName().Name;
services.AddIdentityServer()
.AddDeveloperSigningCredential()
.AddAspNetIdentity()
.AddConfigurationStore(options =>
{
options.ConfigureDbContext = builder =>
builder.UseSqlServer(connectionString,
sql => sql.MigrationsAssembly(migrationsAssembly));
})
.AddOperationalStore(options =>
{
options.ConfigureDbContext = builder =>
builder.UseSqlServer(connectionString,
sql => sql.MigrationsAssembly(migrationsAssembly));
options.EnableTokenCleanup = true;
options.TokenCleanupInterval = 30;
});
}
併在Startup.cs檔案裡新增一個方法InitializeDatabase(初始化資料庫):
///
/// 初始資料庫
///
///
private void InitializeDatabase(IApplicationBuilder app)
{
using (var serviceScope = app.ApplicationServices.GetService().CreateScope())
{
serviceScope.ServiceProvider.GetRequiredService().Database.Migrate();//執行資料庫遷移
serviceScope.ServiceProvider.GetRequiredService().Database.Migrate();
var context = serviceScope.ServiceProvider.GetRequiredService();
context.Database.Migrate();
if (!context.Clients.Any())
{
foreach (var client in Config.GetClients())//迴圈新增 我們直接新增的 5002、5003 客戶端
{
context.Clients.Add(client.ToEntity());
}
context.SaveChanges();
}
if (!context.IdentityResources.Any())
{
foreach (var resource in Config.GetIdentityResources())
{
context.IdentityResources.Add(resource.ToEntity());
}
context.SaveChanges();
}
if (!context.ApiResources.Any())
{
foreach (var resource in Config.GetApiResources())
{
context.ApiResources.Add(resource.ToEntity());
}
context.SaveChanges();
}
}
}
修改Configure方法:
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
//初始化資料
InitializeDatabase(app);
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
app.UseBrowserLink();
app.UseDatabaseErrorPage();
}
else
{
app.UseExceptionHandler("/Home/Error");
}
app.UseStaticFiles();
app.UseIdentityServer();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
}
然後新建一個AccountController控制器,分別實現註冊、登入、登出等。
新建一個ConsentController控制器用於Client回呼。
然後在Client的Startup.cs類裡修改ConfigureServices方法:
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
services.AddAuthentication(options =>
{
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
}).AddCookie("Cookies").AddOpenIdConnect("oidc", options =>
{
options.SignInScheme = "Cookies";
options.Authority = "http://localhost:5001";
options.RequireHttpsMetadata = false;
options.ClientId = "mvc2";
options.ClientSecret = "secret";
options.ResponseType = "code id_token";
options.SaveTokens = true;
options.GetClaimsFromUserInfoEndpoint = true;
options.Scope.Add("api1");
options.Scope.Add("offline_access");
});
}
對於Client的身份認證就簡單了:
[Authorize]//身份認證
public IActionResult Index()
{
return View();
}
///
/// 登出
///
///
public async Task Logout()
{
await HttpContext.SignOutAsync(“Cookies”);
await HttpContext.SignOutAsync(“oidc”);
return View(“Index”);
}
效果圖:
原始碼地址(demo可配置資料庫連線後直接執行)
-
https://github.com/zhaopeiym/BlogDemoCode/tree/master/sso(%E5%8D%95%E7%82%B9%E7%99%BB%E5%BD%95)
推薦閱讀
-
http://www.cnblogs.com/ywlaker/p/6113927.html
-
https://identityserver4.readthedocs.io/en/release
朋友會在“發現-看一看”看到你“在看”的內容