終於有人把 "單點" 登入說清楚了!

語言: CN / TW / HK
時間 2022-09-07 18:11:40

點選進入“PHP開源社群”    

免費獲取進階面試、文件、影片資源

一、單點登入

什麼是單點登入?單點登入全稱Single Sign On(以下簡稱SSO),是指在多系統應用群中登入一個系統,便可在其他所有系統中得到授權而無需再次登入,包括單點登入與單點登出兩部分

1、登入

相比於單系統登入,sso需要一個獨立的認證中心,只有認證中心能接受使用者的使用者名稱密碼等安全資訊,其他系統不提供登入入口,只接受認證中心的間接授權。

間接授權通過令牌實現,sso認證中心驗證使用者的使用者名稱密碼沒問題,建立授權令牌,在接下來的跳轉過程中,授權令牌作為引數傳送給各個子系統,子系統拿到令牌,即得到了授權,可以藉此建立區域性會話,區域性會話登入方式與單系統的登入方式相同。

這個過程,也就是單點登入的原理,用下圖說明

下面對上圖簡要描述:

  1. 使用者訪問系統1的受保護資源,系統1發現使用者未登入,跳轉至sso認證中心,並將自己的地址作為引數

  2. sso認證中心發現使用者未登入,將使用者引導至登入頁面

  3. 使用者輸入使用者名稱密碼提交登入申請

  4. sso認證中心校驗使用者資訊,建立使用者與sso認證中心之間的會話,稱為全域性會話,同時建立授權令牌

  5. sso認證中心帶著令牌跳轉會最初的請求地址(系統1)

  6. 系統1拿到令牌,去sso認證中心校驗令牌是否有效

  7. sso認證中心校驗令牌,返回有效,註冊系統1

  8. 系統1使用該令牌建立與使用者的會話,稱為區域性會話,返回受保護資源

  9. 使用者訪問系統2的受保護資源

  10. 系統2發現使用者未登入,跳轉至sso認證中心,並將自己的地址作為引數

  11. sso認證中心發現使用者已登入,跳轉回系統2的地址,並附上令牌

  12. 系統2拿到令牌,去sso認證中心校驗令牌是否有效

  13. sso認證中心校驗令牌,返回有效,註冊系統2

  14. 系統2使用該令牌建立與使用者的區域性會話,返回受保護資源

使用者登入成功之後,會與sso認證中心及各個子系統建立會話,使用者與sso認證中心建立的會話稱為全域性會話,使用者與各個子系統建立的會話稱為區域性會話,區域性會話建立之後,使用者訪問子系統受保護資源將不再通過sso認證中心,全域性會話與區域性會話有如下約束關係:

  1. 區域性會話存在,全域性會話一定存在

  2. 全域性會話存在,區域性會話不一定存在

  3. 全域性會話銷燬,區域性會話必須銷燬

你可以通過部落格園、百度、csdn、淘寶等網站的登入過程加深對單點登入的理解,注意觀察登入過程中的跳轉url與引數

2、登出

單點登入自然也要單點登出,在一個子系統中登出,所有子系統的會話都將被銷燬,用下面的圖來說明:

so認證中心一直監聽全域性會話的狀態,一旦全域性會話銷燬,監聽器將通知所有註冊系統執行登出操作。

下面對上圖簡要說明:

  1. 使用者向系統1發起登出請求

  2. 系統1根據使用者與系統1建立的會話id拿到令牌,向sso認證中心發起登出請求

  3. sso認證中心校驗令牌有效,銷燬全域性會話,同時取出所有用此令牌註冊的系統地址

  4. sso認證中心向所有註冊系統發起登出請求

  5. 各註冊系統接收sso認證中心的登出請求,銷燬區域性會話

  6. sso認證中心引導使用者至登入頁面

二、部署圖

單點登入涉及sso認證中心與眾子系統,子系統與sso認證中心需要通訊以交換令牌、校驗令牌及發起登出請求,因而子系統必須整合sso的客戶端,sso認證中心則是sso服務端,整個單點登入過程實質是sso客戶端與服務端通訊的過程,用下圖描述:

sso認證中心與sso客戶端通訊方式有多種,這裡以簡單好用的httpClient為例,web service、rpc、restful api都可以

三、實現

SSO 登入請求介面往往是介面加上一個回撥地址,訪問這個地址會跳轉到回撥地址並帶上一個 ticket 引數,拿著這個 ticket 引數再請求介面可以獲取到使用者資訊,如果存在使用者則自動登入,不存在就新增使用者並登入。

比如這個 SSO 模型實現了兩個方法,一個是獲取介面 url,一個是憑 ticket 獲取使用者資訊: 

interface SSOLogin{
  /**    * 獲取登入使用者資訊    * @param $ticket    * @return mixed    */
  public function getInfoFromTicket($ticket);
  /**    * 單點登入授權地址    * @return mixed    */
  public function getAuthUrl();
}

控制器的主要方法,比如回撥地址是跳轉到控制器 http://www.example.com/sso/check?ticket=xxxx 

/**  * 檢測是否單點登入  * @return bool|string  */
public function actionCheck(){
  $ticket = Yii::$app->getRequest()->get('ticket');
  if (!$ticket) {
    return $this->renderAuthError('請先授權', sprintf('<a href="%s">點選登入單點登入系統</a>', SSOlogin::getInstance()->getAuthUrl()));
  }
  $userInfo = SSOlogin::getInstance()->getInfoFromTicket($ticket);
  if (empty($userInfo['username'])) {
    return $this->renderAuthError('請先授權', sprintf('<a href="%s">點選登入單點登入系統</a>', SSOlogin::getInstance()->getAuthUrl()));
  }
  $username = $this->getUserName($userInfo['username']);
  $user = User::find()->canLogin()->username($username)->one();
  if (!$user) {
    $newUser = [];
    $newUser['username'] = $userInfo['username'];
    $newUser['email'] = $this->getUserName($userInfo['username']);
    $newUser['role'] = User::ROLE_DEV;
    $newUser['is_email_verified'] = 1;
    $newUser['realname'] = $userInfo['truename'];
    $user = $this->addUser($newUser);
  }
  $isLogin = Yii::$app->user->login($user, 3600 * 24 * 30);
  if ($isLogin) {
    $this->redirect('/task/index');
  }
  return true;
}

看看這個控制器邏輯就明白了。SSO 介面起到的作用就是獲取使用者資訊,拿這個使用者資訊跟系統使用者表對比,存在使用者則進行登入,不存在建立使用者並登入。

這是一個內部的單點系統,整合到後臺,可能其他的 SSO 跟這不太一樣,但基本原理過程差不多。 

如果你年滿18週歲以上,又覺得學【PHP】太難?想嘗試其他程式語言,那麼我推薦你學Python,現有價值499元Python零基礎課程限時免費領取,限10個名額!

掃描二維碼-免費領取

點選“檢視原文”獲取更多