淘宝官方网站主页提升网站的访问速度
实现单点登录的几种方式
一、Cookie
用户登录父应用之后,应用返回一个加密的cookie,当用户访问子应用的时候,携带上这个cookie,授权应用解密cookie并进行校验,校验通过则登录当前用户。
以上方式把登录信息存储在客户端的Cookie中,这种方式存在一些问题:
- 不够安全
- 无法实现跨域免登
二、JSONP
对于跨域问题,可以使用JSONP实现。用户在父应用中登录后,跟Session匹配的Cookie会存到客户端中,当用户需要登录子应用的时候,授权应用访问父应用提供的JSONP接口,并在请求中带上父应用域名下的Cookie,父应用接收到请求,验证用户的登录状态,返回加密的信息,子应用通过解析返回来的加密信息来验证用户,如果通过验证则登录用户。
这种方式虽然能解决跨域问题,但是安全性其实跟把登录信息存储到Cookie是差不多的。一旦加密算法泄露了,攻击者完全可以按照加密算法来伪造响应请求,子应用接收到这个响应之后一样可以通过验证,并且登录特定用户。
三、页面重定向
通过父应用和子应用间的重定向进行通信,实现信息的安全传递。父应用提供一个GET方式的登录接口,用户通过子应用重定向连接的方式访问这个接口,如果用户还没有登录,则返回一个登录页面,用户输入账号密码进行登录。如果用户已经登录了,则生成加密的Token,并且重定向到子应用提供的验证Token的接口,通过解密和校验之后,子应用登录当前用户。
四、用户中心
一般说来,大型应用会把授权的逻辑与用户信息的相关逻辑独立成一个应用,称为用户中心。用户中心不处理业务逻辑,只是处理用户信息的管理以及授权给第三方应用。第三方应用需要登录的时候,则把用户的登录请求转发给用户中心进行处理,用户处理完毕返回凭证,第三方应用验证凭证,通过后就登录用户。
五、Redis+token
- 用户访问应用系统
- 应用系统检查用户是否携带有效的 Token,如果没有则重定向到登录页面
- 用户在登录页面输入用户名和密码,提交登录请求到认证服务
- 认证服务验证用户信息,若验证通过,生成一个唯一的 Token,并将用户信息与 Token 关联存储到 Redis 中,同时设置 Token 的过期时间
- 认证服务将 Token 返回给应用系统
- 应用系统将 Token 存储在用户的 Cookie 或 LocalStorage 中
- 后续用户访问其他应用系统时,携带 Token,应用系统从 Redis 中验证 Token 的有效性。若有效则允许访问,若无效则重定向到登录页面。
