Was ist ein Single-Sign-On-System? Wie implementiert man es mit NodeJS?

Was ist ein Single-Sign-On-System? Wie implementiert man es mit NodeJS? Der folgende Artikel stellt Ihnen vor, wie Sie mit Node ein Single-Sign-On-System implementieren. Ich hoffe, er wird Ihnen hilfreich sein!

Single Sign On SSO (Single Sign On) besteht darin, die Anmeldefunktion in zwei oder mehr Geschäftssystemen zu entfernen, um ein neues System zu bilden, sodass Sie sich nach einer Anmeldung in jedem Geschäftssystem anmelden können Ich muss mich anmelden.

1. Grundkenntnisse

1.1 Gleiche Ursprungsrichtlinie

Quelle = Protokoll + Domainname + Port

Nehmen Sie http://www.a.com als Beispiel:

• https: // www.a.com ❌(anderes Protokoll)
• http://www.b.com ❌(anderer Domainname)
• http://www.a.com:3000 ❌(anderer Port)

Gleiche Ursprungsrichtlinie Es ist das Verhalten des Browsers, die Sicherheit zu gewährleisten, indem sichergestellt wird, dass nur diese Anwendung auf die Ressourcen unter der Anwendung zugreifen kann.

1.2 Sitzungsmechanismus

Da das http-Protokoll ein zustandsloses Protokoll ist (nachdem die Client- und Serverdaten ausgetauscht wurden, wird die Verbindung geschlossen und die Verbindung beim nächsten Mal wiederhergestellt), aber wir Wenn Sie sich das Passwort usw. merken müssen, ist es offensichtlich, dass die Sitzung aufgezeichnet werden muss. [Verwandte Tutorial-Empfehlungen: nodejs-Video-Tutorial

Beim häufig verwendeten Sitzungs-Tracking handelt es sich um Datenstrukturen, die Schlüssel und Werte speichern können. Der Unterschied besteht darin, dass Cookies auf dem Client gespeichert werden Seite und Sitzungen werden auf der Serverseite gespeichert.

2. Single Sign-On

1. Gleiche übergeordnete Domäne, z. B. www.app1.aaa.com. app2. aaa.comBeide Server befinden sich in der übergeordneten Domäne von .aaa.com. Standardmäßig sind Cookies zwischen Seiten auf den beiden Servern füreinander nicht zugänglich. Aber wir können das Domänenattribut des Cookies auf einen gemeinsamen übergeordneten Domänennamen setzen, sodass auf die Cookies zwischen den Seiten auf den beiden Servern voneinander zugegriffen werden kann.

router.get('/createCookie', async (ctx, next) => {
  ctx.cookies.set('username', '123', {
    maxAge: 60 * 60 * 1000,
    httpOnly: false,
    path: '/',
    domain:'.a.com' //设置domain为共通的父域名
  });
  ctx.body = "create cookie ok"})router.get('/getCookie', async (ctx, next) => {
  let username=ctx.cookies.get('username')
  if (username){
    ctx.body=username  }else{
    ctx.body='no cookie'
  }})

www.app1.aaa.com,www.app2.aaa.com这两个服务器都是在.aaa.com的父域名。
默认情况下，两个服务器下页面之间的cookie是互相访问不到的。

但是我们可以通过设置cookie的domain属性为共通的父域名,使得两个服务器下页面之间的cookie可以相互访问到。

  <script>
    $.ajax({
      url: &#39;https://www.c.com:3000/sso?key=username&value=123&#39;,
      method: &#39;get&#39;,
    })
  </script>

2. 跨域SSO

当我们的域名为www.a.com,www.b.com时，无论怎样设置domain都没用了。

那么就要想办法将身份凭证(token)写入到所有域的cookie中。

2.1 跨域写cookie

2.1.1 利用标签跨域写cookie(jsonp)

在http://www.a.com/index.js中直接向https://www.c.com:3000/sso直接发送网络请求，是无法跨域写入cookie的。

<script></script>

但是我们可以通过标签发起跨域请求，写入cookie

 $.ajax({
      url: 'https://www.c.com:3000/sso?key=username&value=123',
      method: 'get',
      dataType:'jsonp'
    })

或者使用jquery jsonp的方式发起跨域请求，写入cookie，这种方式的原理也是通过标签能够跨域实现的。

const options = {
  key: fs.readFileSync(path.join(__dirname, './https/privatekey.pem')),
  cert: fs.readFileSync(path.join(__dirname, './https/certificate.pem')),
  secureOptions: 'TLSv1_2_method' //force TLS version 1.2}var server = https.createServer(options,app.callback());  //只能使用https协议写cookierouter.get('/sso', async (ctx, next) => {
  let {
    key, value  } = ctx.request.query
  ctx.cookies.set(key, value, {
    maxAge: 60 * 60 * 1000, //有效时间，单位毫秒
    httpOnly: false, //表示 cookie 是否仅通过 HTTP(S) 发送，, 且不提供给客户端 JavaScript (默认为 true).
    path: '/',
    sameSite: 'none', //限制第三方 Cookie
    secure: true //cookie是否仅通过 HTTPS 发送
  });
  ctx.body = 'create Cookie ok'})

这样通过标签就实现了往www.a.com中写入了domain为www.c.com的跨域cookie.

后端

router.get('/sso', async (ctx, next) => {
  let {
    key, value  } = ctx.request.query
  ctx.cookies.set(key, value, {
    maxAge: 60 * 60 * 1000, //有效时间，单位毫秒
    httpOnly: false,
    path: '/',
    sameSite: 'none',
    secure: true
  });
  ctx.set("P3P", "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'") //p3p响应头
  ctx.body = 'create Cookie ok'})

注意:

• 浏览器未写入cookie报错his set-cookie was blocked due to http-only
  http-only：表示 cookie 是否仅通过 HTTP(S) 发送，, 且不提供给客户端 JavaScript (默认为 true).
  所以要将httpOnly设置为false.

• 浏览器未写入cookie报错this set-cookie was blocked due to user preference
  这个真的坑，因为我是无痕模式打开的浏览器，但是chrome浏览器默认无痕模式下禁用第三方cookie，修改为允许所有cookie就行了.
  

• 浏览器未写入cookie报错this set cookie was blocked because it has the SameSite attribute but Secure not set
  需要设置sameSite和secure属性

• 浏览器未写入cookie报错server error Error: Cannot send secure cookie over unencrypted connection
  

2 . Domainübergreifendes SSO

Wenn unser Domainname www.a.com, www.b.com ist, ist es nutzlos, egal wie wir die Domain festlegen .

Dann müssen wir einen Weg finden, die Identitätsnachweise (Token) in die Cookies aller Domänen zu schreiben

.

2.1 Cookies domänenübergreifend schreiben

2.1.1 Verwenden Sie das <script></script>-Tag, um Cookies domänenübergreifend zu schreiben (jsonp)

🎜🎜unter http://www.a.com /index Wenn Sie eine Netzwerkanfrage direkt an https://www.c.com:3000/sso in .js senden, können Sie keine domänenübergreifenden Cookies schreiben. 🎜

router.get('/createToken', async (ctx, next) => {
  let { from } = ctx.request.query  let token = "123";
  ctx.response.redirect(`${from}?token=${token}`)})

🎜Aber wir können domänenübergreifende Anfragen über das Tag <script></script> initiieren und Cookies schreiben🎜

router.get('/createCookie', async (ctx, next) => {
  let { token } = ctx.request.query
  ctx.cookies.set('token', token, {
    maxAge: 60 * 60 * 1000, //有效时间，单位毫秒
    httpOnly: false,
    path: '/',
  });
  ctx.body = 'set cookie ok'})

🎜oder verwenden Sie jquery jsonp, um domänenübergreifende Anfragen zu initiieren und Cookies zu schreiben. script Das />-Tag kann domänenübergreifend implementiert werden. 🎜

<script></script>

🎜Auf diese Weise wird über das Tag das domänenübergreifende Cookie mit der Domain www.a.com geschrieben.🎜🎜 Backend🎜

router.get('/readCookie', async (ctx, next) => {
  let username = ctx.cookies.get('username')
  console.log('cookie', username)})

🎜Hinweis:🎜 🎜

🎜🎜Der Browser hat das Cookie nicht geschrieben und einen Fehler gemeldetsein gesetztes Cookie wurde aufgrund von http-only blockiert🎜 http- only: Gibt an, ob das Cookie nur über HTTP(S) gesendet und nicht an Client-JavaScript bereitgestellt wird (Standard ist „true“) code>dieses Set-Cookie wurde aufgrund der Benutzerpräferenz blockiert🎜 Das ist wirklich eine Falle, weil ich den Browser im Inkognito-Modus geöffnet habe, der Chrome-Browser jedoch standardmäßig Cookies von Drittanbietern im Inkognito-Modus deaktiviert. Ändern Sie es einfach um alle Cookies zuzulassen.🎜🎜🎜🎜 🎜Der Browser schreibt keinen Cookie-Fehlerdieses gesetzte Cookie wurde blockiert, weil es das SameSite-Attribut hat, aber Secure nicht gesetzt ist🎜 Die sameSite- und Secure-Attribute müssen gesetzt werden🎜🎜🎜🎜Der Browser hat das nicht geschrieben Cookie und hat einen Fehler gemeldetServerfehlerfehler: Sicheres Cookie kann nicht über unverschlüsselte Verbindung gesendet werden🎜 Ich denke, das ist eine Einschränkung des Koa-Frameworks zum Schreiben von Cookies. Es kann nur https-Schreibcookies unterstützen..., also Ich habe www.c.com in einen https-Server geändert.🎜🎜🎜🎜🎜 2.1.2 Der p3p-Protokoll-Header implementiert den IE-Browser domänenübergreifend 🎜🎜🎜Die oben erwähnte JSONP-Methode läuft perfekt im Chrome-Browser, der IE-Browser jedoch strenger in Bezug auf Cookies, und das Cookie kann nicht allein mit der oben genannten Methode geschrieben werden. Die Lösung ist „P3P-Antwortheader hinzufügen“. 🎜rrreee🎜🎜2.1.3 URL-Parameter realisieren die domänenübergreifende Informationsübertragung🎜🎜🎜Besuchen Sie http://www.c.com:3000/createToken?from=http://www.a.com/createCookie🎜

www.c.com上生成token后将url重写，带上token，重定向到www.a.com

router.get('/createToken', async (ctx, next) => {
  let { from } = ctx.request.query  let token = "123";
  ctx.response.redirect(`${from}?token=${token}`)})

www.a.com上从url上获取token，存入cookie

router.get('/createCookie', async (ctx, next) => {
  let { token } = ctx.request.query
  ctx.cookies.set('token', token, {
    maxAge: 60 * 60 * 1000, //有效时间，单位毫秒
    httpOnly: false,
    path: '/',
  });
  ctx.body = 'set cookie ok'})

这样就实现了跨域信息的传递.与上面的方式不同，这种方法只是单纯的http请求，适用于所有浏览器，但是缺点也很明显，每次只能分享给一个服务器。

2.2 跨域读cookie

2.2.1 利用标签跨域读cookie(jsonp)

之前2.1.1利用标签在www.a.com中写入了www.c.com的cookie(username,123),现在想要www.a.com请求的时候携带上www.c.com的cookie，也就是说要跨域读cookie.

其实也是同样的方法，在www.a.com上利用跨域访问访问www.c.com,会自动的带上domain为www.c.com的cookie。
www.a.com/index.js

<script></script>

www.c.com

router.get('/readCookie', async (ctx, next) => {
  let username = ctx.cookies.get('username')
  console.log('cookie', username)})

可以看到读取到了存储在www.a.com里面domain为www.c.com的cookie.

3. nodejs实现单点登录系统实战

效果如图所示:

• 第一次访问www.a.com首页

• 跳转到www.c.com:3000登录页面,登录成功后跳转www.a.com首页

• 再次访问www.a.com首页，无需登录直接跳转

• 访问www.b.com首页，无需登录直接跳转

源码: https://github.com/wantao666/sso-nodejs

详细设计:

更多node相关知识，请访问：nodejs 教程！

Das obige ist der detaillierte Inhalt vonWas ist ein Single-Sign-On-System? Wie implementiert man es mit NodeJS?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!