PHP中SSO Cookie登录分析和实现


Posted in PHP onNovember 06, 2015

什么是SSO?

单点登录SSO(Single Sign-On)是身份管理中的一部分。SSO的一种较为通俗的定义是:SSO是指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证

SSO的用途:

目前的企业应用环境中,往往有很多的应用系统,淘宝、天猫、爱淘宝等等产品和如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等等。这些应用系统服务于企业的信息化建设,为企业带来了很好的效益。但是,用户在使用这些应用系统时,并不方便。用户每次使用系统,都必须输入用户名称和用户密码,进行身份验证;而且应用系统不同,用户账号就不同,用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多,用户数目也很多的企业,这个问题尤为突出。问题的原因并不是系统开发出现失误,而是缺少整体规划,缺乏统一的用户登录平台,使用SSO技术可以解决以上这些问题

SSO的好处:

方便用户:从用户实际使用角度考虑

用户使用应用系统时,能够一次登录,多次使用。用户不再需要每次输入用户名称和用户密码,也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验。
方便管理员:从日常维护管理角度考虑

现在很多大的互联网公司都会有很多的应用,比如以下是淘宝网的截图:

PHP中SSO Cookie登录分析和实现

天猫 聚划算 头条等都是不同的应用,有的甚至采用完全不同的域名,但是所有在淘宝注册的用户都是使用的一套用户名和口令,如果在这些系统直接切换做不到登陆状态的同 步,体验是非常差的。再举个栗子,很多公司内部系统也有很多个,比如HR系统,财务系统,考勤系统等等,如果员工在一个系统登陆了,跳转到另外一个系统还 需要登陆,就会让人很不爽...

基于此,SSO(Single Sign On)应运而生。当然,我们来现实这个需求的方法有很多种,使用Cookie是其中比较简单的方式,主要需要解决的问题是:Cookie是不能跨域传递的,如何将一个域的Cookie通知给其它应用(不在同一个域)?

so,如果你对cookie机制不太熟悉,请先google,并大致了解为什么cookie会设计成不能跨域等相关问题。

      系统管理员只需要维护一套统一的用户账号,方便、简单。相比之下,系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号,不仅给管理上带来不方便,而且,也容易出现管理漏洞。

简化应用系统开发:从应用扩展角度考虑

      开发新的应用系统时,可以直接使用单点登录平台的用户认证服务,简化开发流程。单点登录平台通过提供统一的认证平台,实现单点登录。因此,应用系统并不需要开发用户认证程序。  
如何实现?

SSO有以下几种方式实现

共享Cookie

当我们的子系统都在一个父级域名下时,我们可以将Cookie种在父域下,这样浏览器同域名下的Cookie则可以共享,这样可以通过Cookie加解密的算法获取用户SessionID,从而实现SSO。

但是,后面我们发现这种方式有几种弊端:
a. 所有同域名的系统都能获取SessionID,易被修改且不安全;
b. 跨域无法使用。

ticket验证,我们目前采取的是这种方式

这种实现的SSO有以下几个步骤:

a. 用户访问某个子系统,发现如果未登录,则引导用户跳转到SSO登录页面;
b. 判断SSO是否已经登录;
c. 如果已经登录,直接跳转到回调地址,并返回认证ticket;
d. 如果未登录,用户正确输入用户名/密码,认证通过跳转到回调地址,并返回认证ticket;
e. 子系统获取ticket,调用SSO获取用户uid等信息,成功后让用户登录。

前面已经说了,如何通过Cookie来实现SSO,主要是如何解决跨域问题。首先来谈谈Set-Cookie中的domain属性。

Cookie domain

为了让Http协议在一定程度上保持上下文,server在响应的头部可以加入Set-Cookie来写入一些数据到客户端,Set-Cookie中的

domain字段用来表示这个cookie所在的域。

栗子:

我们访问www.cookieexm.com,如果server在返回头部中加入了Set-Cookie,如果不指定domain,那么默认这个cookie的域就是www.cookieexm.com,也就是只有访问www.cookieexm.com时客户端才会把这个cookie返给服务端。
如果我们指定domain为.cookieexm.com,那么客户端在访问以下域名:www.cookieexm.com www1.cookieexm.com a.cookieexm.com ***.cookieexm.com 时都能够把cookie返回。

所以,我们得出一条结论:客户端对cookie的domain的匹配是从结尾进行匹配的,有了这个基础,我们就可以实现我们的SSO登陆了。

cookie中需要注意的

设置为http-only

涉及登录凭证(如票据或者用户名)应该加密

cookie不能存放隐私数据

具体方案

假设我们需要在如下子系统 **.a1.a2 **.b1.b2 **.c1.c2间实现单点登录,首先我们需要一个专门用于单点登陆的认证系统(sso.s1.s2)。假设目前系统处于未登录状态,访问www.a1.a2为例:

PHP中SSO Cookie登录分析和实现

分别看一下每个步骤作用:

请求www.a1.a2

www.a1.a2收到请求,检查是否携带登录的cookie,目前没有登陆过,那么重定向到sso认证中心
SSO提供登陆窗口,用户输入用户名 口令。SSO系统验证用户名和口令

这一步是关键,如果登录成功,首先把SSO系统的Cookie放到客户端;同时,将用户的认证信息传递通过重定向传递给业务方,注意,这个传递明显不能通过cookie来传递(不同域嘛),一般是通过加密的querystring。

业务方的验证系统收到sso认证信息,再进行认证
业务方认证通过之后,把认证结果的cookie写入到.a1.a2,至此,SSO认证完成
重定向到业务系统www.a1.a2,由前面的结论可知,此时所有以.a1.a2结尾的业务系统都可以使用这个认证之后的cookie

response

说明:
业务认证系统不一定存在,有些不是太敏感的系统可以直接从SSO Authorization重定向到业务系统,并把SSO的认证信息带过去。

承接上文,此时,如果用户访问www.b1.b2应用,如下图所示:

PHP中SSO Cookie登录分析和实现

与访问www.a1.a2不同的是我们在重定向到SSO Authorization时已经不需要再去输入用户名,因为sso.s1.s2此时已经存有cookie,直接用cookie验证。

以上,就是一个简单的基于Cookie的登陆系统。

其中几个问题需要重点解决

如何高效存储大量临时性的信任数据
如何防止信息传递过程被篡改
如何让SSO系统信任登录系统和免登系统
对于第一个问题,一般可以采用类似与memcached的分布式缓存的方案,既能提供可扩展数据量的机制,也能提供高效访问

对于第二个问题,一般采取数字签名的方法,要么通过数字证书签名,要么通过像md5的方式,这就需要SSO系统返回免登URL的时候对需验证的参数进行 md5加密,并带上token一起返回,最后需免登的系统进行验证信任关系的时候,需把这个token传给SSO系统,SSO系统通过对token的验证 就可以辨别信息是否被改过

对于最后一个问题,可以通过白名单来处理,说简单点只有在白名单上的系统才能请求生产信任关系,同理只有在白名单上的系统才能被免登录。

PHP 相关文章推荐
COM in PHP (winows only)
Oct 09 PHP
理解PHP5中static和const关键字的区别
Mar 19 PHP
Zend Studio for Eclipse的java.lang.NullPointerException错误的解决方法
Dec 06 PHP
PHP mb_convert_encoding 获取字符串编码类型实现代码
Apr 26 PHP
Linux下实现PHP多进程的方法分享
Aug 16 PHP
php使浏览器直接下载pdf文件的方法
Nov 15 PHP
Linux下安装PHP MSSQL扩展教程
Oct 24 PHP
php5.4以上版本GBK编码下htmlspecialchars输出为空问题解决方法汇总
Apr 03 PHP
PHP使用Pthread实现的多线程操作实例
Nov 14 PHP
thinkPHP模板中for循环与switch语句用法示例
Nov 30 PHP
Laravel 实现关系模型取出需要的字段
Oct 10 PHP
php数组指针函数功能及用法示例
Feb 11 PHP
使用PHP similar text计算两个字符串相似度
Nov 06 #PHP
PHP正则表达式之捕获组与非捕获组
Nov 06 #PHP
php创建无限级树型菜单
Nov 05 #PHP
详解PHP中instanceof关键字及instanceof关键字有什么作用
Nov 05 #PHP
PHP递归创建多级目录
Nov 05 #PHP
PHP中的静态变量及static静态变量使用详解
Nov 05 #PHP
PHP环境中Memcache的安装和使用
Nov 05 #PHP
You might like
简单介绍下 PHP5 中引入的 MYSQLI的用途
2007/03/19 PHP
实例介绍PHP的Reflection反射机制
2014/08/05 PHP
redis查看连接数及php模拟并发创建redis连接的方法
2016/12/15 PHP
php 字符串中是否包含指定字符串的多种方法
2018/04/12 PHP
PHP convert_cyr_string()函数讲解
2019/02/13 PHP
PHP笛卡尔积实现原理及代码实例
2020/12/09 PHP
你需要知道的JavsScript可以做什么?
2007/06/29 Javascript
Js setInterval与setTimeout(定时执行与循环执行)的代码(可以传入参数)
2010/06/11 Javascript
javascript阻止浏览器后退事件防止误操作清空表单
2013/11/22 Javascript
Javascript基础知识(一)核心基础语法与事件模型
2014/09/29 Javascript
javascript跨域总结之window.name实现的跨域数据传输
2015/11/01 Javascript
基于JQuery打造无缝滚动新闻步骤详解
2016/03/31 Javascript
使用DeviceOne实现微信小程序功能
2016/12/29 Javascript
vue-quill-editor+plupload富文本编辑器实例详解
2018/10/19 Javascript
Web安全之XSS攻击与防御小结
2018/12/13 Javascript
js打开word文档预览操作示例【不是下载】
2019/05/23 Javascript
Vue解析剪切板图片并实现发送功能
2020/02/04 Javascript
vue 微信分享回调iOS和安卓回调出现错误的解决
2020/09/07 Javascript
Nodejs 数组的队列以及forEach的应用详解
2021/02/25 NodeJs
详解如何用TensorFlow训练和识别/分类自定义图片
2019/08/05 Python
django中间键重定向实例方法
2019/11/10 Python
Python字典添加,删除,查询等相关操作方法详解
2020/02/07 Python
浅谈python多线程和多线程变量共享问题介绍
2020/04/17 Python
Python-jenkins 获取job构建信息方式
2020/05/12 Python
django Layui界面点击弹出对话框并请求逻辑生成分页的动态表格实例
2020/05/12 Python
python神经网络编程实现手写数字识别
2020/05/27 Python
非常震撼的纯CSS3人物行走动画
2016/02/24 HTML / CSS
Radley英国官网:英国莱德利小狗包
2019/03/21 全球购物
Java面试题:为什么要用Java
2012/05/11 面试题
学校领导班子群众路线整改措施
2014/09/16 职场文书
入党自传范文2015
2015/06/26 职场文书
2016银行招聘自荐信
2016/01/28 职场文书
Django展示可视化图表的多种方式
2021/04/08 Python
go 原生http web 服务跨域restful api的写法介绍
2021/04/27 Golang
解决Mysql的left join无效及使用的注意事项说明
2021/07/01 MySQL
nginx请求限制配置方法
2021/07/09 Servers