SSO单点登录目的
之前一般来讲系统简单,登录后 本地 cookie 加服务器 session 存储用户身份信息,以此为依据来判断用户再次登录时免验证
但随着互联网发展,很多应用 部署在不同的服务器上,而用户体系是一套,那么按照原来的方式,每个应用的服务器都需要 登录然后存session信息,这样就导致了重复操作,而sso就是为了 在多个应用 多个服务器 还只想登录一次的效果 避免重复操作。
所以 目的很简单,在多服务器中 只通过一个认证登录的地方去处理
关键技术组件
令牌(Token):传递用户身份信息的载体(如 JWT、SAML Token)。
认证中心(Identity Provider, IdP):负责用户身份验证和令牌签发。
服务提供者(Service Provider, SP):依赖认证中心验证令牌的应用系统
Net 处理单点登录的方式配置认证中心 IdentityServer
-
基于 OAuth 2.0/OpenID Connect
协议特点:
OAuth 2.0:授权框架,用于第三方应用获取资源访问权限。
OpenID Connect (OIDC):基于 OAuth 2.0 的身份认证层,支持 SSO。
适用场景:互联网应用、跨平台服务(如第三方登录)。
-
场景说明
假设企业使用 独立身份提供者(IdP)(如 IdentityServer、Azure AD 或 Okta)管理用户身份,多个应用(Service Providers, SP)通过该 IdP 实现 SSO。例如:
应用A:https://app1.company.com(内部 HR 系统)
应用B:https://app2.company.com(项目管理平台)
用户登录任意应用后,可无缝访问其他应用,无需重复认证
注!!登录信息的输入凭证都是在IDP输入不在应用A和应用B输入 -
实现步骤(以 OIDC + ASP.NET Core 为例)
配置 Identity Provider(以 IdentityServer 为例)
步骤:
- 部署 IdentityServer(开源 IdP)。
- 注册客户端(应用A和应用B)并配置重定向 URI。
- 定义用户身份信息(Claims)和 API 资源(Scopes)
javascript
// IdentityServer 的 Config.cs
public static class Clients
{
public static IEnumerable<Client> GetClients()
{
return new List<Client>
{
new Client
{
ClientId = "app1",
ClientSecrets = { new Secret("app1-secret".Sha256()) },
AllowedGrantTypes = GrantTypes.Code,
RedirectUris = { "https://app1.company.com/signin-oidc" },
AllowedScopes = { "openid", "profile", "email" }
},
new Client
{
ClientId = "app2",
ClientSecrets = { new Secret("app2-secret".Sha256()) },
AllowedGrantTypes = GrantTypes.Code,
RedirectUris = { "https://app2.company.com/signin-oidc" },
AllowedScopes = { "openid", "profile", "email" }
}
};
}
}ASP.NET Core 代码配置:
在 Startup.cs 中添加 OIDC 认证中间件
javascript
// ASP.NET Core 中配置 OIDC 认证
// 完整 OIDC 配置示例(Startup.cs)
services.AddAuthentication(options =>
{
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies")
.AddOpenIdConnect("oidc", options =>
{
options.Authority = "https://idp.company.com";
options.ClientId = "app1";
options.ClientSecret = "app1-secret";
options.ResponseType = "code";
options.SaveTokens = true;
options.UsePkce = true;
options.Scope.Add("openid");
options.Scope.Add("profile");
options.Scope.Add("offline_access");
options.TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = "name",
RoleClaimType = "role"
};
});- 登录控制器以及令牌验证:
javascript
public class AccountController : Controller
{
// 触发登录(若未认证,自动跳转至 IdP)
public IActionResult Login(string returnUrl = "/")
{
if (!User.Identity.IsAuthenticated)
{
return Challenge(new AuthenticationProperties { RedirectUri = returnUrl });
}
return Redirect(returnUrl);
}
// 注销(本地 + IdP 全局注销)
public async Task<IActionResult> Logout()
{
await HttpContext.SignOutAsync("Cookies");
return SignOut(new AuthenticationProperties { RedirectUri = "/" }, "oidc");
}
}
[ApiController]
[Route("api/[controller]")]
[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
public class UserController : ControllerBase
{
[HttpGet("info")]
public IActionResult GetUserInfo()
{
var userId = User.FindFirst(ClaimTypes.NameIdentifier)?.Value;
return Ok(new { UserId = userId });
}
}
//JWT令牌验证
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.Authority = "https://idp.company.com";
options.Audience = "my-api-resource";
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true
};
});Net 处理单点登录的方式 共享cookie
- 共享cookie
-
场景说明
假设一个企业拥有两个子应用:
应用A:app1.example.com(员工考勤系统)
应用B:app2.example.com(内部文档管理系统)
用户只需登录一次,即可在两个应用间无缝切换。以下是具体实现流程。
-
实现原理
将认证 Cookie 的 Domain 设置为 .example.com,允许所有子域名(app1、app2)读取该 Cookie。
通过统一的加密密钥生成和验证 Cookie,确保安全性。
-
认证流程
用户在任一子应用登录,认证成功后生成加密的 Cookie。
访问其他子应用时,浏览器自动携带该 Cookie,应用服务器解密后验证用户身份。
-
环境配置
域名与 HTTPS
确保应用部署在子域名下(如 app1.example.com、app2.example.com)。
必须启用 HTTPS(防止 Cookie 被窃取),可通过自签名证书或 Let's Encrypt 实现。
-
开发环境
修改本地 hosts 文件模拟子域名:
-
代码实现(ASP.NET Core)
-
javascript
1. 配置共享 Cookie
在 Startup.cs 中统一配置 Cookie 认证:
public void ConfigureServices(IServiceCollection services)
{
// 配置数据保护共享密钥(所有应用使用相同的密钥)
services.AddDataProtection()
.PersistKeysToFileSystem(new DirectoryInfo(@"\\shared-network-path\keys"))
.SetApplicationName("ExampleSSO");
services.AddAuthentication("SharedCookie")
.AddCookie("SharedCookie", options =>
{
options.Cookie.Name = "SSOAuthCookie";
options.Cookie.Domain = ".example.com"; // 关键:允许子域名共享
options.Cookie.SecurePolicy = CookieSecurePolicy.Always; // 强制 HTTPS
options.Cookie.HttpOnly = true; // 防止 XSS
options.Cookie.SameSite = SameSiteMode.Lax; // 平衡安全与跨站请求
options.LoginPath = "/Account/Login"; // 登录页路径
options.AccessDeniedPath = "/Account/AccessDenied";
});
services.AddControllersWithViews();
}
javascript
2. 登录逻辑
在 AccountController.cs 中处理登录请求:
public class AccountController : Controller
{
[HttpPost]
public async Task<IActionResult> Login(string username, string password)
{
// 模拟用户验证
if (username == "admin" && password == "123456")
{
var claims = new List<Claim>
{
new Claim(ClaimTypes.Name, username),
new Claim(ClaimTypes.Role, "User")
};
var claimsIdentity = new ClaimsIdentity(claims, "SharedCookie");
var authProperties = new AuthenticationProperties
{
IsPersistent = true // 持久化 Cookie(可选)
};
await HttpContext.SignInAsync(
"SharedCookie",
new ClaimsPrincipal(claimsIdentity),
authProperties);
return RedirectToAction("Index", "Home");
}
ModelState.AddModelError(string.Empty, "用户名或密码错误");
return View();
}
[HttpPost]
public async Task<IActionResult> Logout()
{
await HttpContext.SignOutAsync("SharedCookie");
return RedirectToAction("Index", "Home");
}
}
javascript
3. 验证用户身份
在需要授权的控制器或方法上添加 [Authorize] 属性:
[Authorize]
public class HomeController : Controller
{
public IActionResult Index()
{
// 获取当前用户信息
var userName = User.Identity.Name;
return View();
}
}-
测试流程
访问应用A:打开 https://app1.example.com/Home/Index,由于未登录,自动跳转至 https://app1.example.com/Account/Login。
输入凭证登录:提交后生成加密的 Cookie(域名为 .example.com)。
访问应用B:打开 https://app2.example.com/Home/Index,浏览器自动携带 Cookie,应用B解密后直接授权访问。
-
关键问题与解决方案
Cookie 无法共享
检查 Domain 配置:确保 .example.com 的域名设置正确(注意开头的点)。
验证 HTTPS:Cookie 的 Secure 属性要求 HTTPS。
-
用户会话不一致
共享数据保护密钥:所有应用需使用相同的密钥存储路径(如网络共享目录或数据库)。
javascript
.PersistKeysToFileSystem(new DirectoryInfo(@"\\shared-network-path\keys"))跨域请求限制
配置 CORS(如涉及 API 调用):
javascript
services.AddCors(options =>
{
options.AddPolicy("AllowSubdomains", builder =>
builder.WithOrigins("https://app1.example.com", "https://app2.example.com")
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials());
});安全增强建议
定期轮换密钥