ASP.NET MVC SSO单点登陆设计与实现
实验环境配置
HOST文件配置以下:
127.0.0.1 app.com
127.0.0.1 sso.comgit
IIS配置以下:
应用程序池采用.Net Framework 4.0github
注意IIS绑定的域名,两个彻底不一样域的域名。数据库
app.com网站配置以下:
sso.com网站配置以下:
memcached缓存:
数据库配置:
数据库采用EntityFramework 6.0.0,首次运行会自动建立相应的数据库和表结构。api
受权验证过程演示:
在浏览器地址栏中访问:http://app.com,若是用户还未登录则网站会自动重定向至:http://sso.com/passport,同时经过QueryString传参数的方式将对应的AppKey应用标识传递过来,运行截图以下:浏览器
URL地址:http://sso.com/passport?appkey=670b14728ad9902aecba32e22fa4f6bd&username=缓存
输入正确的登录帐号和密码后,点击登录按钮系统自动301重定向至应用会掉首页,毁掉成功后以下所示:安全
因为在不一样的域下进行SSO受权登录,因此采用QueryString方式返回受权标识。同域网站下可采用Cookie方式。因为301重定向请求是由浏览器发送的,因此在若是受权标识放入Handers中的话,浏览器重定向的时候会丢失。重定向成功后,程序自动将受权标识写入到Cookie中,点击其余页面地址时,URL地址栏中将再也不会看到受权标示信息。Cookie设置以下:服务器
登录成功后的后续受权验证(访问其余须要受权访问的页面):cookie
校验地址:http://sso.com/api/passport?sessionkey=xxxxxx&remark=xxxxxxsession
返回结果:true,false
客户端能够根据实际业务状况,选择提示用户受权已丢失,须要从新得到受权。默认自动重定向至SSO登录页面,即:http://sso.com/passport?appkey=670b14728ad9902aecba32e22fa4f6bd&username=seo@ljja.cn 同时登录页面邮箱地址文本框会自定补全用户的登录帐号,用户只需输入登录密码便可,受权成功后会话有效期自动延长一年时间。
SSO数据库验证日志:
用户受权验证日志:
用户受权会话Session:
数据库用户帐号和应用信息:
应用受权登录验证页面核心代码:
1 /// <summary> 2 /// 公钥:AppKey 3 /// 私钥:AppSecret 4 /// 会话:SessionKey 5 /// </summary> 6 public class PassportController : Controller 7 { 8 private readonly IAppInfoService _appInfoService = new AppInfoService(); 9 private readonly IAppUserService _appUserService = new AppUserService(); 10 private readonly IUserAuthSessionService _authSessionService = new UserAuthSessionService(); 11 private readonly IUserAuthOperateService _userAuthOperateService = new UserAuthOperateService(); 12 13 private const string AppInfo = "AppInfo"; 14 private const string SessionKey = "SessionKey"; 15 private const string SessionUserName = "SessionUserName"; 16 17 //默认登陆界面 18 public ActionResult Index(string appKey = "", string username = "") 19 { 20 TempData[AppInfo] = _appInfoService.Get(appKey); 21 22 var viewModel = new PassportLoginRequest 23 { 24 AppKey = appKey, 25 UserName = username 26 }; 27 28 return View(viewModel); 29 } 30 31 //受权登陆 32 [HttpPost] 33 public ActionResult Index(PassportLoginRequest model) 34 { 35 //获取应用信息 36 var appInfo = _appInfoService.Get(model.AppKey); 37 if (appInfo == null) 38 { 39 //应用不存在 40 return View(model); 41 } 42 43 TempData[AppInfo] = appInfo; 44 45 if (ModelState.IsValid == false) 46 { 47 //实体验证失败 48 return View(model); 49 } 50 51 //过滤字段无效字符 52 model.Trim(); 53 54 //获取用户信息 55 var userInfo = _appUserService.Get(model.UserName); 56 if (userInfo == null) 57 { 58 //用户不存在 59 return View(model); 60 } 61 62 if (userInfo.UserPwd != model.Password.ToMd5()) 63 { 64 //密码不正确 65 return View(model); 66 } 67 68 //获取当前未到期的Session 69 var currentSession = _authSessionService.ExistsByValid(appInfo.AppKey, userInfo.UserName); 70 if (currentSession == null) 71 { 72 //构建Session 73 currentSession = new UserAuthSession 74 { 75 AppKey = appInfo.AppKey, 76 CreateTime = DateTime.Now, 77 InvalidTime = DateTime.Now.AddYears(1), 78 IpAddress = Request.UserHostAddress, 79 SessionKey = Guid.NewGuid().ToString().ToMd5(), 80 UserName = userInfo.UserName 81 }; 82 83 //建立Session 84 _authSessionService.Create(currentSession); 85 } 86 else 87 { 88 //延长有效期,默认一年 89 _authSessionService.ExtendValid(currentSession.SessionKey); 90 } 91 92 //记录用户受权日志 93 _userAuthOperateService.Create(new UserAuthOperate 94 { 95 CreateTime = DateTime.Now, 96 IpAddress = Request.UserHostAddress, 97 Remark = string.Format("{0} 登陆 {1} 受权成功", currentSession.UserName, appInfo.Title), 98 SessionKey = currentSession.SessionKey 99 }); 104 105 var redirectUrl = string.Format("{0}?SessionKey={1}&SessionUserName={2}", 106 appInfo.ReturnUrl, 107 currentSession.SessionKey, 108 userInfo.UserName); 109 110 //跳转默认回调页面 111 return Redirect(redirectUrl); 112 } 113 }
Memcached会话标识验证核心代码:
public class PassportController : ApiController { private readonly IUserAuthSessionService _authSessionService = new UserAuthSessionService(); private readonly IUserAuthOperateService _userAuthOperateService = new UserAuthOperateService(); public bool Get(string sessionKey = "", string remark = "") { if (_authSessionService.GetCache(sessionKey)) { _userAuthOperateService.Create(new UserAuthOperate { CreateTime = DateTime.Now, IpAddress = Request.RequestUri.Host, Remark = string.Format("验证成功-{0}", remark), SessionKey = sessionKey }); return true; } _userAuthOperateService.Create(new UserAuthOperate { CreateTime = DateTime.Now, IpAddress = Request.RequestUri.Host, Remark = string.Format("验证失败-{0}", remark), SessionKey = sessionKey }); return false; } }
Client受权验证Filters Attribute
public class SSOAuthAttribute : ActionFilterAttribute { public const string SessionKey = "SessionKey"; public const string SessionUserName = "SessionUserName"; public override void OnActionExecuting(ActionExecutingContext filterContext) { var cookieSessionkey = ""; var cookieSessionUserName = ""; //SessionKey by QueryString if (filterContext.HttpContext.Request.QueryString[SessionKey] != null) { cookieSessionkey = filterContext.HttpContext.Request.QueryString[SessionKey]; filterContext.HttpContext.Response.Cookies.Add(new HttpCookie(SessionKey, cookieSessionkey)); } //SessionUserName by QueryString if (filterContext.HttpContext.Request.QueryString[SessionUserName] != null) { cookieSessionUserName = filterContext.HttpContext.Request.QueryString[SessionUserName]; filterContext.HttpContext.Response.Cookies.Add(new HttpCookie(SessionUserName, cookieSessionUserName)); } //从Cookie读取SessionKey if (filterContext.HttpContext.Request.Cookies[SessionKey] != null) { cookieSessionkey = filterContext.HttpContext.Request.Cookies[SessionKey].Value; } //从Cookie读取SessionUserName if (filterContext.HttpContext.Request.Cookies[SessionUserName] != null) { cookieSessionUserName = filterContext.HttpContext.Request.Cookies[SessionUserName].Value; } if (string.IsNullOrEmpty(cookieSessionkey) || string.IsNullOrEmpty(cookieSessionUserName)) { //直接登陆 filterContext.Result = SsoLoginResult(cookieSessionUserName); } else { //验证 if (CheckLogin(cookieSessionkey, filterContext.HttpContext.Request.RawUrl) == false) { //会话丢失,跳转到登陆页面 filterContext.Result = SsoLoginResult(cookieSessionUserName); } } base.OnActionExecuting(filterContext); } public static bool CheckLogin(string sessionKey, string remark = "") { var httpClient = new HttpClient { BaseAddress = new Uri(ConfigurationManager.AppSettings["SSOPassport"]) }; var requestUri = string.Format("api/Passport?sessionKey={0}&remark={1}", sessionKey, remark); try { var resp = httpClient.GetAsync(requestUri).Result; resp.EnsureSuccessStatusCode(); return resp.Content.ReadAsAsync<bool>().Result; } catch (Exception ex) { throw ex; } } private static ActionResult SsoLoginResult(string username) { return new RedirectResult(string.Format("{0}/passport?appkey={1}&username={2}", ConfigurationManager.AppSettings["SSOPassport"], ConfigurationManager.AppSettings["SSOAppKey"], username)); } }
示例SSO验证特性使用方法:
[SSOAuth] public class HomeController : Controller { public ActionResult Index() { return View(); } public ActionResult About() { ViewBag.Message = "Your application description page."; return View(); } public ActionResult Contact() { ViewBag.Message = "Your contact page."; return View(); } }
总结:
从草稿示例代码中能够看到代码性能上还有不少优化的地方,还有SSO应用受权登录页面的用户帐号不存在、密码错误等一系列的提示信息等。在业务代码运行基本正确的后期,能够考虑往更多的安全性层面优化,好比启用AppSecret私钥签名验证,IP范围验证,固定会话请求攻击、SSO受权登录界面的验证码、会话缓存自动重建、SSo服务器、缓存的水平扩展等。
源码地址:https://github.com/smartbooks/SmartSSO
相关文章
- 1. ASP.NET MVC SSO单点登录设计与实现
- 2. ASP.NET MVC实现单点登陆(SSO)小Demo
- 3. SSO-单点统一登陆系统的设计与实现
- 4. C#实现 单点登陆(SSO)
- 5. SSO单点登陆
- 6. 单点登陆 SSO
- 7. 实现 OAuth2 单点登陆SSO—单点登陆和OAuth2概述
- 8. 多系统实现单点登陆方案:SSO 单点登陆
- 9. SSO单点登陆实例
- 10. sso单点登陆
- 更多相关文章...
- • Web 创建设计 - 网站建设指南
- • 移动设备 统计 - 浏览器信息
- • Spring Cloud 微服务实战(三) - 服务注册与发现
- • ☆基于Java Instrument的Agent实现
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他进程嵌入到qt FindWindow获得窗口句柄 报错无法链接的外部符号 [email protected] 无法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的应用-TOPK问题
- 6. 实例演示ElasticSearch索引查询term,match,match_phase,query_string之间的区别
- 7. 数学基础知识 集合
- 8. amazeUI 复择框问题解决
- 9. 背包问题理解
- 10. 算数平均-几何平均不等式的证明,从麦克劳林到柯西
欢迎关注本站公众号,获取更多信息
相关文章