.net單點登錄(sso)解決方案

1、基于基于.的單點登錄的單點登錄(SSO)解決方案解決方案前些天一位朋友要我?guī)兔ψ鲆粏吸c登錄，其實這個概念早已耳熟能詳，但實際應(yīng)用很少，難得最近輕閑，于是決定通過本文來詳細(xì)描述一個SSO解決方案，希望對大家有所幫助。SSO的解決方案很多，但搜索結(jié)果令人大失所望，大部分是相互轉(zhuǎn)載，并且描述的也是走馬觀花。閑話少敘，進(jìn)入正題，我的想法是使用集中驗證方式，多個站點集中Passpt驗證。如下圖所示：為方便清晰描述，先定義幾個名詞，本文中出現(xiàn)之處均

2、為如下含義。主站主站：Passpt集中驗證服務(wù)器。分站分站：、、憑證憑證：用戶登錄后產(chǎn)生的數(shù)據(jù)標(biāo)識，用于識別授權(quán)用戶，可為多種方式，DEMO中主站我使用的是Cache，分站使用Session。令牌令牌：由Passpt頒發(fā)可在各分站中流通的唯一標(biāo)識。OK，現(xiàn)在描述一下單點登錄的過程：情形一、匿名用戶：匿名用戶訪問分站a上的一個授權(quán)頁面，首先跳轉(zhuǎn)到主站讓用戶輸入帳號、密碼進(jìn)行登錄，驗證通過后產(chǎn)生主站憑證，同時產(chǎn)生令牌，跳轉(zhuǎn)回分站a，此時分站

3、a檢測到用戶已持有令牌，于是用令牌再次去主站獲取用戶憑證，獲取成功后允許用戶訪問該授權(quán)頁面。同時產(chǎn)生分站a的本地憑證，當(dāng)該用戶需要再次驗證時將先檢查本地憑證，以減少網(wǎng)絡(luò)交互。情形二、在分站a登錄的用戶訪問分站b：因為用戶在分站a登錄過，已持有令牌，所以分站b會用令牌去主站獲取用戶憑證，獲取成功后允許用戶訪問授權(quán)頁面。同時產(chǎn)生分站b的tokenCookie.Domain=““Response.AppendCookie(tokenCooki

4、e)主站憑證主站憑證：主站憑證是一個關(guān)系表，包含了三個字段：令牌、憑證數(shù)據(jù)、過期時間。有多種實現(xiàn)方式可供選擇，要求可靠的話用數(shù)據(jù)庫，要求性能的話用Cache，DEMO中我使用的是Cache中的DataTable。如下代碼所示：初始化數(shù)據(jù)結(jié)構(gòu)|token(令牌)|info(用戶憑證)|timeout(過期時間)|||privatestaticvoidcacheInit()if(HttpContext.Current.Cache[“CERT

5、“]==null)DataTabledt=newDataTable()dt.Columns.Add(“token“Type.GetType(“System.String“))dt.Columns[“token“].Unique=truedt.Columns.Add(“info“Type.GetType(“System.Object“))dt.Columns[“info“].DefaultValue=nulldt.Columns.Add(

6、“timeout“Type.GetType(“System.DateTime“))dt.Columns[“timeout“].DefaultValue=DateTime.Now.AddMinutes(double.Parse(System.Configuration.ConfigurationManager.AppSettings[“timeout“]))DataColumn[]keys=newDataColumn[1]keys[0]=