不同域名实现单点登录

技术方案与实现细节详解

背景介绍

单点登录（SSO, Single Sign-On）是一种常见的身份验证机制，它允许用户在多个相互信任的应用系统中，只需登录一次即可访问所有系统，随着企业业务的扩展和多域名应用的普及，不同域名之间的单点登录需求变得愈发重要，本文将详细介绍如何在不同域名之间实现单点登录。

一、基本原理

1 同域单点登录 vs 跨域单点登录

在同一域名下，通过设置Cookie的domain属性为根域名，可以实现子域名间的单点登录，对于不同域名，由于浏览器同源策略的限制，不能直接共享Cookie，因此需要借助第三方认证中心来实现跨域单点登录。

2 CAS原理简介

跨域单点登录通常采用CAS（Central Authentication Service）模型，CAS是一种独立的身份验证服务，它允许多个应用系统通过重定向的方式，将身份验证的责任转移给一个中央认证服务器，用户首先在CAS服务器上进行身份验证，成功后CAS服务器会颁发一个Ticket（票据），并将用户重定向回原始请求的应用系统，该系统再通过CAS服务器验证Ticket的有效性，从而实现单点登录。

二、实现步骤

1 用户未登录场景

假设有两个不同域名的网站a1.com和a2.com，以及一个CAS服务器cas.com，当用户访问a1.com或a2.com时，如果尚未登录，则会被重定向到CAS服务器的登录页面，具体流程如下：

1、用户访问a1.com或a2.com的受保护资源。

2、应用发现用户未登录，将用户重定向到CAS服务器的login/login Servlet，并附带原始请求的URL作为参数。

3、CAS服务器检查用户是否已登录（即是否存在CAS的cookie），如果未登录，则重定向到CAS的login.jsp页面，要求用户输入用户名和密码。

4、用户在login.jsp页面输入凭据后，提交给CAS服务器的login Servlet进行验证。

5、验证通过后，CAS服务器生成一个Ticket，并将其写入浏览器的Cookie中，然后重定向用户回到原始请求的URL，并在URL中附带Ticket参数。

6、应用系统拿到Ticket后，将其发送给CAS服务器的validation Servlet进行验证。

7、如果Ticket验证成功，应用系统记录用户的登录状态，并放行用户访问受保护的资源。

2 用户已登录场景

如果用户已经在某个应用系统中登录过CAS，则再次访问其他应用系统时，CAS服务器能够识别出用户已登录，并直接重定向回目标应用系统，无需再次登录，具体流程如下：

1、用户访问a2.com的受保护资源。

2、a2.com发现用户未登录，将用户重定向到CAS服务器的login/login Servlet。

3、CAS服务器检查到用户已登录（存在CAS的cookie），取出其中的Ticket，验证其有效性。

4、验证通过后，CAS服务器重定向用户回a2.com，并在URL中附带Ticket参数。

5、a2.com拿到Ticket后，同样发送给CAS服务器进行验证。

6、验证成功后，a2.com记录用户的登录状态，并允许用户访问受保护的资源。

三、关键技术点

1 Cookie与Token

在不同域名下实现单点登录的关键在于如何跨域传递用户的登录凭证，常用的方法有使用Cookie和Token，Cookie受到同源策略的限制，不能在不同域名间共享；而Token则可以通过URL参数或LocalStorage等方式在前端传递，在本例中，我们主要使用了Cookie来存储Ticket信息。

2 重定向与URL参数传递

重定向是实现CAS模型的核心机制之一，通过HTTP重定向，可以将用户的请求从应用系统转发到CAS服务器进行身份验证，然后再返回应用系统，在这个过程中，URL参数用于传递用户的请求信息和Ticket信息，需要注意的是，URL长度有限，因此在传递大量数据时应考虑使用其他方式（如将数据存储在后端）。

3 安全性考虑

在实现单点登录时，安全性是一个不可忽视的问题，以下是一些常见的安全措施：

加密传输：确保所有与CAS服务器的通信都通过HTTPS进行加密传输，防止中间人攻击窃取用户的凭据信息。

Ticket有效期：设置合理的Ticket有效期，防止长时间有效的Ticket被滥用，定期刷新Ticket以增强安全性。

跨站请求伪造（CSRF）防护：在应用系统中实施CSRF防护措施，防止恶意网站利用用户的登录状态执行未授权的操作。

日志审计：记录关键操作日志，以便在发生安全事件时进行追踪和分析。

四、常见问题解答

Q1: 如何在多个域名间共享登录状态？

A1: 要在不同域名间共享登录状态，需要借助第三方认证中心（如CAS服务器），用户首先在CAS服务器上登录并获得Ticket，然后在访问其他应用系统时将Ticket作为凭证传递给这些系统进行验证，这样就可以实现多个域名间的单点登录。

Q2: 如何解决跨域请求中的安全问题？

A2: 解决跨域请求中的安全问题可以从以下几个方面入手：一是使用HTTPS加密传输敏感信息；二是设置合理的Cookie属性（如HttpOnly、Secure等）来减少XSS攻击的风险；三是实施CSRF防护措施来防止跨站请求伪造攻击；四是定期审查和更新安全策略以应对新的威胁和漏洞。

小伙伴们，上文介绍了“不同域名如何实现单点登录”的内容，你了解清楚吗？希望对你有所帮助，任何问题可以给我留言，让我们下期再见吧。