本文目录导读:
禁用了Cookie怎么做单点登录
在现代的Web应用中,单点登录(SSO)是一种方便用户在多个相关应用或服务之间进行身份验证的机制,Cookie在这个过程中扮演着重要的角色,但当Cookie被禁用时,我们需要寻找其他的替代方案来实现单点登录。
图片来源于网络,如有侵权联系删除
基于URL重写的单点登录
1、原理
- URL重写是一种在不依赖Cookie的情况下传递会话相关信息的方法,当用户首次在单点登录系统中进行登录认证后,系统不是通过Cookie来标识用户的会话状态,而是将一个包含用户标识或会话标识的参数附加到每个URL后面,将用户的唯一标识符(如用户ID或者一个加密后的会话标识)添加到请求的URL中,像https://example.com/page?sessionId=123456。
- 对于SSO系统中的各个子应用,它们需要能够识别这个附加在URL上的参数,并根据这个参数来确定用户的身份状态,这就要求子应用有一套解析URL参数并验证用户身份的机制。
2、实现步骤
身份认证阶段
- 用户访问单点登录入口,输入用户名和密码进行登录。
- 单点登录服务器验证用户身份成功后,生成一个唯一的会话标识(例如使用加密算法生成一个随机且唯一的字符串)。
- 单点登录服务器将用户重定向到目标应用,并在重定向的URL中添加这个会话标识参数,如https://sub - application.com?ssosessionid = generated_session_id。
应用验证阶段
- 子应用接收到带有会话标识参数的请求后,将这个参数发送到单点登录服务器进行验证。
- 单点登录服务器根据这个会话标识查询数据库或者缓存(存储了已登录用户的会话信息),如果验证通过,子应用就可以识别用户为已登录状态,并为用户提供相应的服务。
图片来源于网络,如有侵权联系删除
二、利用本地存储(LocalStorage或SessionStorage)
1、原理
- 本地存储(LocalStorage和SessionStorage是HTML5 Web Storage API的一部分)可以在浏览器端存储数据,虽然与Cookie有一些区别,但可以在一定程度上替代Cookie来实现单点登录相关的功能,LocalStorage中的数据在浏览器关闭后仍然存在,除非被手动清除,而SessionStorage中的数据在浏览器会话结束(关闭浏览器标签或窗口)时就会被清除。
- 在单点登录场景下,当用户登录成功后,单点登录系统可以将用户的身份标识或者令牌(Token)存储在本地存储中,然后各个子应用可以读取这个本地存储中的数据来验证用户身份。
2、实现步骤
身份认证阶段
- 用户登录单点登录系统,成功验证身份后,单点登录服务器生成一个包含用户身份信息的令牌(例如使用JSON Web Tokens - JWT)。
- 单点登录服务器将这个令牌存储在浏览器的本地存储中(可以根据需求选择LocalStorage或SessionStorage),使用JavaScript代码localStorage.setItem('sso_token', generated_token)。
应用验证阶段
- 当用户访问子应用时,子应用中的JavaScript代码首先检查本地存储中是否存在有效的令牌。
- 如果存在,子应用将这个令牌发送到单点登录服务器或者子应用自身的验证端点进行验证,验证成功后,子应用就可以确认用户的登录身份并提供相应服务。
图片来源于网络,如有侵权联系删除
基于HTTP头信息传递身份标识
1、原理
- HTTP头信息可以在每次请求中传递额外的信息,在单点登录场景下,当用户在单点登录系统中登录成功后,单点登录服务器可以将用户的身份标识或者相关的授权信息添加到HTTP头信息中,当用户访问各个子应用时,子应用可以从HTTP头信息中获取这些标识并进行身份验证。
2、实现步骤
身份认证阶段
- 用户登录单点登录系统,经过验证后,单点登录服务器生成一个包含用户身份信息的自定义HTTP头字段(例如X - SSO - User - ID),并将用户的身份标识填充到这个字段中。
应用验证阶段
- 子应用在接收到请求时,从HTTP头信息中提取这个自定义的字段(如X - SSO - User - ID)。
- 子应用将提取到的身份标识发送到单点登录服务器或者子应用自身的验证机制进行验证,如果验证通过,子应用就可以认定用户为已登录状态并提供服务。
需要注意的是,每种方法都有其自身的优缺点,基于URL重写的方法可能会使URL看起来比较复杂,并且在分享链接时可能会泄露用户的会话信息;利用本地存储需要考虑浏览器对本地存储的支持以及安全性问题(如跨站脚本攻击可能会窃取本地存储中的数据);基于HTTP头信息传递则需要确保中间的代理服务器不会篡改HTTP头信息等安全问题,在实际应用中,需要根据具体的业务需求、安全要求和技术环境来选择合适的单点登录替代方案。
评论列表