來自:
完全跨域的單點登錄實現(xiàn)方案基本和上篇文章介紹的一樣,只不過生成的過程更復雜些。上篇文章中的項目是不能完全跨域的,由于多個應用系統(tǒng)以及認證系統(tǒng)域不同,也沒有共同的父域,導致登錄后,認證系統(tǒng)向瀏覽器寫的在其它應用系統(tǒng)中獲取不到,這時訪問其它應用系統(tǒng)時,沒有攜帶著的,無法認證也無法單點登錄。那解決的方案是每個應用系統(tǒng)都向瀏覽器中寫入,請看下圖,圖中淺藍色圓角區(qū)域代表不同的域,當用戶通過瀏覽器第一次訪問應用系統(tǒng)1時,由于還沒有登錄,會被引導到認證系統(tǒng)進行登錄。下面開始單點登錄的過程:認證系統(tǒng)根據用戶在瀏覽器中輸入的登錄信息,進行身份認證,如果認證通過,返回給瀏覽器一個證明[認證系統(tǒng)];這時再通過瀏覽器將[認證系統(tǒng)]發(fā)送到到應用系統(tǒng)1的設置的url,應用系統(tǒng)1返回給瀏覽器一個證明[應用系統(tǒng)],這時再將請求重定向到最初訪問的頁面,以后應用系統(tǒng)1就可以自動登錄了。現(xiàn)在用戶訪問了應用系統(tǒng)2,由于應用系統(tǒng)2沒有生成過(但是用戶已經在應用系統(tǒng)1登錄過一次了),將請求重定向到認證系統(tǒng);認證系統(tǒng)檢測到已經生成過[認證系統(tǒng)]了,認證通過;再通過瀏覽器將[認證系統(tǒng)]發(fā)送到到應用系統(tǒng)2的設置的url,應用系統(tǒng)2返回給瀏覽器一個證明[應用系統(tǒng)],這時再將請求重定向到最初訪問的頁面。應用系統(tǒng)3也同樣原理,我們等于將做了一次同步,保證了每個應用系統(tǒng)都有一份認證系統(tǒng)產生的。剩余的驗證過程和上篇文章一樣了。
同步的過程用jsonp應該也可以實現(xiàn),我基于上篇文章中的項目實現(xiàn)了完全跨域的單點登錄,可以在這里下載項目。
域名準備
修改hosts文件,映射3個域名:
[html]
三個域名都是獨立的,沒有共同父域,web1和web2用于訪問應用系統(tǒng),用于訪問認證系統(tǒng)。
項目部署
項目中包含的是兩個 ,導入到/后,可能需要設置下類庫。為認證系統(tǒng),為應用系統(tǒng),如果映射的域名和我設置的一樣,不需要設置,直接部署即可。如果不一樣,需要修改下/WEB-INF/web.xml文件。關鍵配置信息如下:
[html]
com.ghsau.. :8080// SSOID *.jsp / /
如果域名或端口號和我的不一致,可以修改對應配置項。最后部署到應用服務器中基于ad域的單點登錄,啟動服務器。
SSO使用
首先輸入第一個應用系統(tǒng)的訪問地址,:8080//index.jsp,如果是第一次訪問的話,會自動跳轉到登錄頁,如下圖:
系統(tǒng)中內置了3個用戶,張三、李四、王五,用戶名和密碼皆為拼音全拼,輸入/登錄后,會自動跳轉到我們剛才訪問的頁面,頁面中顯示了登錄的用戶名及歡迎信息,如下圖:
這時基于ad域的單點登錄,我們再輸入第二個應用系統(tǒng)的訪問地址,:8080//index.jsp,我們發(fā)現(xiàn),沒有進行第二次登錄,同樣頁面中顯示了登錄的用戶名及歡迎信息,如下圖:
我們接著點擊注銷用戶,頁面跳轉到了登錄頁面,這時我們再回頭訪問第一個應用系統(tǒng)的頁面,發(fā)現(xiàn)同樣跳轉到了登錄頁面。
互聯(lián)網中的完全跨域登錄的站點也有很多,如淘寶和天貓,但肯定不是我這樣實現(xiàn)的。我的實現(xiàn)中,認證系統(tǒng)和應用系統(tǒng)是通過url參數(shù)來傳遞,可能存在一些不穩(wěn)定因素。應用系統(tǒng)的每次請求都會通過HTTP遠程到認證系統(tǒng)進行驗證,速度上應該會慢一些,這里可以改進一步,在每個應用系統(tǒng)中也維護一份,驗證時,首先到本系統(tǒng)中驗證,如果不存在,再遠程到認證系統(tǒng)進行驗證,但這也增加了應用系統(tǒng)的代碼量。本文完,如果有什么問題,歡迎討論。