.net單點(diǎn)登錄(sso)解決方案

1、基于基于.的單點(diǎn)登錄的單點(diǎn)登錄(SSO)解決方案解決方案前些天一位朋友要我?guī)兔ψ鲆粏吸c(diǎn)登錄，其實(shí)這個(gè)概念早已耳熟能詳，但實(shí)際應(yīng)用很少，難得最近輕閑，于是決定通過本文來詳細(xì)描述一個(gè)SSO解決方案，希望對(duì)大家有所幫助。SSO的解決方案很多，但搜索結(jié)果令人大失所望，大部分是相互轉(zhuǎn)載，并且描述的也是走馬觀花。閑話少敘，進(jìn)入正題，我的想法是使用集中驗(yàn)證方式，多個(gè)站點(diǎn)集中Passpt驗(yàn)證。如下圖所示：為方便清晰描述，先定義幾個(gè)名詞，本文中出現(xiàn)之處均

2、為如下含義。主站主站：Passpt集中驗(yàn)證服務(wù)器。分站分站：、、憑證憑證：用戶登錄后產(chǎn)生的數(shù)據(jù)標(biāo)識(shí)，用于識(shí)別授權(quán)用戶，可為多種方式，DEMO中主站我使用的是Cache，分站使用Session。令牌令牌：由Passpt頒發(fā)可在各分站中流通的唯一標(biāo)識(shí)。OK，現(xiàn)在描述一下單點(diǎn)登錄的過程：情形一、匿名用戶：匿名用戶訪問分站a上的一個(gè)授權(quán)頁(yè)面，首先跳轉(zhuǎn)到主站讓用戶輸入帳號(hào)、密碼進(jìn)行登錄，驗(yàn)證通過后產(chǎn)生主站憑證，同時(shí)產(chǎn)生令牌，跳轉(zhuǎn)回分站a，此時(shí)分站

3、a檢測(cè)到用戶已持有令牌，于是用令牌再次去主站獲取用戶憑證，獲取成功后允許用戶訪問該授權(quán)頁(yè)面。同時(shí)產(chǎn)生分站a的本地憑證，當(dāng)該用戶需要再次驗(yàn)證時(shí)將先檢查本地憑證，以減少網(wǎng)絡(luò)交互。情形二、在分站a登錄的用戶訪問分站b：因?yàn)橛脩粼诜终綼登錄過，已持有令牌，所以分站b會(huì)用令牌去主站獲取用戶憑證，獲取成功后允許用戶訪問授權(quán)頁(yè)面。同時(shí)產(chǎn)生分站b的tokenCookie.Domain=““Response.AppendCookie(tokenCooki

4、e)主站憑證主站憑證：主站憑證是一個(gè)關(guān)系表，包含了三個(gè)字段：令牌、憑證數(shù)據(jù)、過期時(shí)間。有多種實(shí)現(xiàn)方式可供選擇，要求可靠的話用數(shù)據(jù)庫(kù)，要求性能的話用Cache，DEMO中我使用的是Cache中的DataTable。如下代碼所示：初始化數(shù)據(jù)結(jié)構(gòu)|token(令牌)|info(用戶憑證)|timeout(過期時(shí)間)|||privatestaticvoidcacheInit()if(HttpContext.Current.Cache[“CERT

5、“]==null)DataTabledt=newDataTable()dt.Columns.Add(“token“Type.GetType(“System.String“))dt.Columns[“token“].Unique=truedt.Columns.Add(“info“Type.GetType(“System.Object“))dt.Columns[“info“].DefaultValue=nulldt.Columns.Add(

6、“timeout“Type.GetType(“System.DateTime“))dt.Columns[“timeout“].DefaultValue=DateTime.Now.AddMinutes(double.Parse(System.Configuration.ConfigurationManager.AppSettings[“timeout“]))DataColumn[]keys=newDataColumn[1]keys[0]=