SSO體系結構

SSO

SSO英文全稱Single Sign On，單點登錄，SSO是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統，它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制，它是目前比較流行的企業業務整合的解決方案之一，

體系結構

? 當用戶第一次訪問應用系統1的時候，因為還沒有登錄，會被引導到認證系統中進行登錄；根據用戶提供的登錄資訊，認證系統進行身份校驗，如果通過校驗，應該回傳給用戶一個認證的憑據－－token；用戶再訪問別的應用的時候就會將這個token帶上，作為自己認證的憑據，應用系統接受到請求之后會把token送到認證系統進行校驗，檢查token的合法性，如果通過校驗，用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了 ，

Token

token的意思是“令牌”，是服務端生成的一串字串，作為客戶端進行請求的一個標識，

當用戶第一次登錄后，服務器生成一個token并將此token回傳給客戶端，客戶端收到token后把它存盤起來，可以放在cookie或者Local Storage（本地存盤）里， 以后客戶端只需帶上這個token前來請求資料即可，無需再次帶上用戶名和密碼，

簡單token的組成；uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign（簽名，token的前幾位以哈希演算法壓縮成的一定長度的十六進制字串，為防止token泄露），

設計token的值可以有以下方式

1. 用設備mac地址作為token
2. 用sessionid作為token

同域SSO原理分析

實際上，HTTP協議是無狀態的，單個系統的會話由服務端Session進行維持，Session保持會話的原理是通過Cookie把sessionId寫入瀏覽器，每次訪問都會自動攜帶全部Cookie，在服務端讀取其中的sessionId進行驗證實作會話保持，同域下單點登錄其實就是手寫token代替sessionId進行會話認證，

token的生成

服務端生成token后，將token與user物件存盤在Map結構中，token為Key，user物件為value，response.addCookie()生成新的Cookie，名為token，值為token的值，

token過期移除

將服務端的token從Map中移除，再洗掉瀏覽器端的名為token的Cookie，

認證流程

跨域SSO原理分析

當有多個系統時，認證機制的流程如下：

1. 提供用戶登錄界面，供用戶進行身份認證
2. 用戶驗證通過后，生成新token
3. 將token<->user 對存入全域MAP中供校驗
4. 將token寫入所有域的Cookie中
5. 頁面重定向回原始請求URL

分析

當系統有多個并且在不同域(domain)時，Cookie只會作用在當前域下，

將token寫入所有域的Cookie中才是解決跨域SSO的核心，

Cookie增刪改查

如何讀取Cookie

通過Servlet中的request物件可以讀取到Cookie陣列，然后foreach遍歷讀取，一般只是獲取到nam和value，其他資訊寫入到瀏覽器后，瀏覽器不主動再發回來，讀取并無意義，

        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                System.out.println(
                        cookie.getName() +
                        cookie.getValue() +
                        cookie.getMaxAge() +
                        cookie.getPath() +
                        cookie.getDomain() +
                        cookie.getSecure() +
                        cookie.isHttpOnly()//客戶端js是否可以獲取
                );
            }
        }

如何寫入Cookie帶瀏覽器

新建Cookie物件設定一系列屬性，然后添加到response中去，需要注意的是，當設定path為“/”時，表示所有路徑都會被該Cookie作用到，如果設定為/path1那么由/path2發起請求就不會攜帶該Cookie，默認不設定只作用在當前路徑下，

        Cookie cookie = new Cookie("myCookieName","myCookieValue");
        cookie.setHttpOnly(false);//Javascript不能處理
        //一個正值表示cookie將在經過許多秒之后過期，注意，值是cookie過期的最大時間，而不是cookie當前的時間，
        //負值表示cookie沒有持久存盤，在Web瀏覽器退出時將被洗掉，零值會導致洗掉cookie，
        cookie.setMaxAge(-1000);
        cookie.setSecure(false);//如果為true，僅支持HTTPS協議
        //cookie對指定目錄中的所有頁面以及該目錄子目錄中的所有頁面都可見，
        cookie.setPath("/");
        //cookie.setDomain("www.a.com");//默認情況下，cookie只回傳給發送cookie的服務器，
        response.addCookie(cookie);

修改Cookie

修改更新Cookie時，除了要保證Cookie的name是相同的，也要保證Cookie的一系列屬性是相同的，否則瀏覽器會生成新的Cookie，

洗掉Cookie

只需要設定Cookie的MaxAge為負值，意味著是過去的Cookie，瀏覽器就會清除，

跨域讀寫Cookie

利用HTML的script標簽跨域寫Cookie

比如當前域是www.a.com,下面的script標簽是跨域寫cookie的核心，通過此標簽實作了向www.b.com域寫入cookie：

<script type="text/javascript" src=https://www.cnblogs.com/IT-Evan/p/"http://www.b.com/setCookie?cname=token&cval=123456"></script>

P3P協議

? P3P是一種被稱為個人隱私安全平臺專案（the Platform for Privacy Preferences）的標準，能夠保護在線隱私權，使Internet沖浪者可以選擇在瀏覽網頁時，是否被第三方收集并利用自己的個人資訊，如果一個站點不遵守P3P標準的話，那么有關它的Cookies將被自動拒絕，并且P3P還能夠自動識破多種Cookies的嵌入方式，p3p是由全球資訊聯盟網所開發的，

舉個例子：

? 我們在訪問A網站時，理論上說，我們只能把Cookie資訊保存到A站域名下，而不能寫入到B網站下，如果想要跨域讀寫Cookie，只是通過script標簽變相訪問B網站在一些瀏覽器是行不通的，此時B網站的服務器應該告訴瀏覽器允許A網站寫入Cookie，否則瀏覽器將會拒絕執行，這就是P3P協議，

服務端如何告訴瀏覽器？

? P3P提供了一種簡單的方式 ，來加載用戶隱私策略，只要在http回應的頭資訊中增加 response.setHeader("P3P","CP=NON DSP COR CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa CONa HISa TELa OTPa OUR UNRa IND UNI COM NAV INT DEM CNT PRE LOC);而無需指定隱私策略檔案也可以達到指定隱私策略的目的， CP=后面的字串分別代表不同的策略資訊，

總結

因為P3P協議所以不能保證所有瀏覽器都能通過script標簽方式跨域寫Cookie，有的瀏覽器本身就是拒絕跨域的，

顯然這種方式是不能保證跨域寫cookie的成功性，

通過URL引數實作跨域資訊傳遞

我們要在A域實作寫入token到B域，需要在A域設計一個servlet接收請求，代碼：

@WebServlet(name = "tg")
public class Servlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException {
        //獲取請求的目標域
        String from = request.getParameter("from");
        //生成token，
        String token = "123456";
        //重定向到目標域
        response.sendRedirect(from + "?cname=token&cval=" + token);
    }
    ...
 }

由a域發起請求，請求地址：http://www.a.com/tg?from=http://www.b.com/set_cookie, 請求后該Servlet會獲取from引數的值并生成token最后讓客戶端重定向到http://www.b.com/set_cookie?cname=token&cval=123456，然后B域的Servlet("set_cookie")獲取Url引數寫入Cookie到客戶端，代碼：

        //將要寫入的cookie項，呼叫者通過引數傳遞
        String cookieName = request.getParameter("cname");
        String cookieValue = https://www.cnblogs.com/IT-Evan/p/request.getParameter("cval");

        //生成cookie
        Cookie cookie = new Cookie(cookieName,cookieValue);
        cookie.setPath("/");
        //一般可以將domain設定到頂級域
        //cookie.setDomain("www.b.com");
        response.addCookie(cookie);

這時候再查看B域下的Cookie就可以發現(token=123456)已經被寫入到瀏覽器，

讀取其它域的Cookie

利用script標簽

利用script標簽執行另一個域實作的讀取cookie方法，script標簽回傳結果將是變數定義形式的JS代碼，每一個變數表示一個cookie項，這些代碼加載后，此頁面后續JS代碼可以直接在script腳本中讀取已定義的變數值，即各cookie值，

<script type="text/javascript" src=https://www.cnblogs.com/IT-Evan/p/"http://www.b.com/reaf_cookies"></script>

HTML頁面讀取

<script>
alert(token);
</script>

B域的url為/read_cookies的Servlet是如何實作的？

如圖，首先我們先在request中獲取cookie陣列，然后for回圈遍歷拼接為類似var token='test123';的字串，最重要的是設定ContentType為application/javascript，代碼如下：

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        Cookie[] cookies = request.getCookies();
        StringBuilder stringBuilder = new StringBuilder();
        //一定要設定回應型別，否則可能導致IE不決議js直接進行下載操作
        response.setContentType("application/javascript");

        if (cookies != null) {
            for (Cookie cookie : cookies) {
                //結果類似于這樣 var token='123456';
                stringBuilder.append("var ")
                        .append(cookie.getName())
                        .append("=")
                        .append("'")
                        .append(cookie.getValue())
                        .append("'")
                        .append(";");
            }
            response.getWriter().append(stringBuilder.toString());
        }
     }

跨域Ajax請求

Jsonp的方式

跨域Ajax請求在瀏覽器階段就會被阻止，我們可以通過script標簽回傳想要的json資料，如圖：

 <script type="text/javascript" src=https://www.cnblogs.com/IT-Evan/p/"http://www.b.com/user_info_2"></script>

后臺Servlet代碼

        //要正確設定回應型別,避免IE出現下載
        response.setContentType("application/javascript");

        String userInfo = "{\"id\":1,\"name\":\"zhangsan\"}";

        //回傳拼接的javascript陳述句字串，陳述句本身執行一個呼叫函式的操作
        String ret = "showResult("+userInfo+")";

在Servlet中設定回傳型別為javascript，并正常獲取json格式的資料，最關鍵的是在最后拼接為js陳述句字串，陳述句本身就是執行一個呼叫函式的操作：

showResult({"id":1,"name":"zhangsan"})

而showResult(ret)回呼函式自然需要我們在之前就定義好：

    <script>
        function showResult(ret){
            console.log(ret)
        }
    </script>

優化

這種方式，前端的回呼函式和后端耦合度較高，前端可以在呼叫后端方法時帶上回呼函式名（?callback=xxxxx），后端優化后的代碼：

        //通過引數傳遞回呼函式名，一定程度降低了前后端代碼的耦合度
        String callback = request.getParameter("callback");

        //回傳拼接的javascript陳述句字串，陳述句本身執行一個呼叫函式的操作
        String ret = callback+"("+userInfo+")";

再優化

HTML頁面加載到我們定義的script標簽時就會執行我們的回呼方法，更多時候我們想要控制回呼方法的執行時機，這個問題可以通過前端動態生成節點來解決，當我們執行完之后再移除節點即可：

    <script>
        var script = document.createElement("script");
        script.src = https://www.cnblogs.com/IT-Evan/p/"http://www.b.com/user_info_2?callback=showResult";
        document.body.appendChild(script);

        script.onload = function () {
            document.body.removeChild(script);
        }
    </script>

JQuery

我們可以把這些封裝到一個方法里，隨時呼叫，這里可以使用Jquery封裝好的API，

                $.ajax({
                    url: "http://localhost:9090/query",
                    type: "GET",
                    dataType: "jsonp",  //指定服務器回傳的資料型別
                    jsonpCallback: "showData",  //指定回呼函式名稱
                    success: function (data) {
                        console.info("呼叫success");
                    }
                });
                function showData(data){
                    var result = JSON.stringify(data);
                }

CORS簡介

出于安全原因，瀏覽器限制從腳本內發起的跨源HTTP請求， 例如，XMLHttpRequest和Fetch API遵循同源策略， 這意味著使用這些API的Web應用程式只能從加載應用程式的同一個域請求HTTP資源，除非使用CORS頭檔案，

跨域資源共享（ CORS ）機制允許 Web 應用服務器進行跨域訪問控制，從而使跨域資料傳輸得以安全進行，瀏覽器支持在 API 容器中（例如 XMLHttpRequest 或 Fetch ）使用 CORS，以降低跨域 HTTP 請求所帶來的風險，

GET跨域請求原理

當客戶端瀏覽器發起一個跨域的HTTP請求，瀏覽器經過請求回應，如果沒有看到Access-Control-Allow-Origin的header頭部，會認為你的請求是不合法的，換句話說，我們只要在被請求的服務器上設定這個頭部，瀏覽器就會允許我們進行請求，

解決方法

對于簡單的請求，我們直接在服務端 設定就可以了，如圖，只要請求的地址是www.a.com就會被瀏覽器允許跨域，如果想要允許對于多個來源可以用,號進行隔開；如果想要允許所有來源，設定為*就可以，不過建議不要使用，這樣會造成安全隱患，

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //簡單請求，直接設定Access-Control-Allow-Origin就可以了
        response.setHeader("Access-Control-Allow-Origin","*");
        //要正確設定回應型別,避免IE出現下載
        response.setContentType("application/json");

        response.getWriter().write("{\"id\":1,\"name\":\"zhangsan\"}");
    }

對于復雜的請求，比如POST，或者加入了自定義header頭部，上面的方法就不適用了，下面繼續看，

CORS流程

請求發起時,瀏覽器先判斷當前是否是跨域的AJAX;

如果是,判斷是否是普通型別請求(GET型別,無自定義頭資料);

普通請求,直接發起GET到服務端,在回應頭中尋找 Access-Contro-Alow- Origin,如果有且允許,處理回應結果;

不是普通請求(非GET型別,或有自定義頭), 先 PreFlight(即發起一個 method= OPTIONS)的請求,

要求回傳 Access-Control-Allow- Methods和 Access-Control-Allow- Headers, 內容體為空

PreFlight正確執行后, 再發起GET請求, 獲得回應結果, 并處理結果.

實作

歸根到我們的代碼中的實作，只需要在servlet中定義options請求的處理方法即可，如圖

    protected void doOptions(HttpServletRequest req, HttpServletResponse response) {
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Methods","GET,POST,OPTIONS,DELETE");
        response.setHeader("Access-Control-Allow-Headers","reqid,xxx");
    }

注意：Access-Control-Allow-Origin是必需的，

兩種跨域AJax請求對比

兼容性

Jsonp對所有瀏覽器兼容，CORS對現代瀏覽器兼容（IE8之后），

請求方式

Jsonp只支持GET方式，CORS支持GET，POST等，

呼叫方式

Jsonp需要服務端封裝回傳資訊，CORS更像原生AJax一樣使用，

標籤：其他

上一篇：線性代數筆記29——正定矩陣和最小值

下一篇：大牛們幫忙！我的電腦用S-S連接外網不作業，系統更新了還是不行。