以前涉及到单点登录,都是用CAS解决的,不过体验不是很好,但是也确确实实实现了单点登录,利用了session会话。后来我到了公司的架构部,部门决定重新定位前端技术路线,我大胆地采用了前后端分离的方式,让前端工程化,这样遇到单点登录就涉及到一个问题,前端已经不存在session会话了,于是我就采用cookie,将登录信息存储进cookie,这时有人就会问,cookie是不是不安全,在我看来session和cookie的安全级别是差不多的,都很容易被攻击。如果对于内网项目,可以暂不考虑,如果是外网项目则必须采用https协议。
现在我就简单地说下我是如何实现的吧:
比如现在有a.com、b.com、uc.com;a.com和b.com中利用iframe嵌套uc.com,利用html5跨域通讯postMessage将在a.com中登录的信息告知uc.com,然后uc.com将需要保存的信息存入cookie,a.com也将需要保存的信息存入cookie;此时访问b.com时,b.com中的iframe中的uc.com会将cookie中的登录信息通过postMessage告知b.com这些信息,然后b.com将这些信息存入cookie中,此时b.com就是已登录状态了,无需再登录,这样便实现了单点登录。以上反之则是未登录。
上一种方式对于安全性较高的Safari和Opera浏览器是不可行的,不同之处在于这些浏览器不允许iframe中跨域存储cookie,此时解决方案是在a.com中登录后将信息存入cookie,然后跳转至利用iframe嵌套a.com的uc.com,a.com将cookie中的登录信息传递给uc.com,这样uc.com就获取到了登录信息,然后存储进cookie,然后利用浏览器路径替换方式进入a.com,这样便实现了单点登录。
我的方法很简单,有一个地方需要注意,就是postMessage只将信息发送给约定好的域,iframe只被约定好的域嵌套!
单点登录SSO-流程图:
对于安全性较高的浏览器,单点登录SSO-流程图:
是不是很简单,目前我是这么解决的,如果谁有更好的想法的话,就在此请求你一起分享下吧~
补充:前端和后端交互的时候,基本都是和rest风格的接口交互,我平时交互的时候都是头部信息中放入后端以JWT形式生成的token,后端获取请求时去解析前端传过来的token值,然后判断后给以相应的处理。这里就不介绍JWT了,关于JWT的文章泛滥了~
