怎么實現單點登錄？-魔扣目錄

多處使用，而在架構單點登錄時，也會遇到一些小問題，在不同的應用環境中可以采用不同的單點登錄實現方案來滿足需求。

我將以我所遇到的應用環境以及在其中所經歷的各個階段與大家分享，若有不足，希望各位不吝賜教。

一、共享Session

共享Session可謂是實現單點登錄最直接、最簡單的方式。將用戶認證信息保存于Session中，即以Session內存儲的值為用戶憑證，這在單個站點內使用是很正常也很容易實現的，而在用戶驗證、用戶信息管理與業務應用分離的場景下即會遇到單點登錄的問題，在應用體系簡單，子系統很少的情況下，可以考慮采用Session共享的方法來處理這個問題。

這個架構我使用了基于redis的Session共享方案。將Session存儲于Redis上，然后將整個系統的全局Cookie Domain設置于頂級域名上，這樣SessionID就能在各個子系統間共享。分布式Session共享解決方案，這篇推薦大家看下。

這個方案存在著嚴重的擴展性問題，首先，ASP.NET的Session存儲必須為SessionStateItemCollection對象，而存儲的結構是經過序列化后經過加密存儲的。

并且當用戶訪問應用時，他首先做的就是將存儲容器里的所有內容全部取出，并且反序列化為SessionStateItemCollection對象。

這就決定了他具有以下約束：

1.Session中所涉及的類型必須是子系統中共同擁有的（即程序集、類型都需要一致），這導致Session的使用受到諸多限制；

2.跨頂級域名的情況完全無法處理；

二、基于OpenId的單點登錄

這種單點登錄將用戶的身份標識信息簡化為OpenId存放于客戶端，當用戶登錄某個子系統時，將OpenId傳送到服務端，服務端根據OpenId構造用戶驗證信息，多用于C/S與B/S相結合的系統，流程如下：

由上圖可以看到，這套單點登錄依賴于OpenId的傳遞，其驗證的基礎在于OpenId的存儲以及發送。

1.當用戶第一次登錄時，將用戶名密碼發送給驗證服務；

2.驗證服務將用戶標識OpenId返回到客戶端；

3.客戶端進行存儲；

4.訪問子系統時，將OpenId發送到子系統；

5.子系統將OpenId轉發到驗證服務；

6.驗證服務將用戶認證信息返回給子系統；

7.子系統構建用戶驗證信息后將授權后的內容返回給客戶端。

這套單點登錄驗證機制的主要問題在于他基于C/S架構下將用戶的OpenId存儲于客戶端，在子系統之間發送OpenId，而B/S模式下要做到這一點就顯得較為困難。為了處理這個問題我們將引出下一種方式，這種方式將解決B/S模式下的OpenId的存儲、傳遞問題。

三、基于Cookie的OpenId存儲方案

我們知道，Cookie的作用在于充當一個信息載體在Server端和Browser端進行信息傳遞，而Cookie一般是以域名為分割的，例如a.xxx.com與b.xxx.com的Cookie是不能互相訪問的，但是子域名是可以訪問上級域名的Cookie的。即a.xxx.com和b.xxx.com是可以訪問xxx.com下的Cookie的，于是就能將頂級域名的Cookie作為OpenId的載體。