单点接入方案总结

Posted 2021-03-14 yuxiaoxu

单点登录首先获取统一门户的登陆凭据，然后通过验证取得登陆名，最后对登陆名在接入系统中进行验证并创建会话。也有一种是约定的方式，比如根据几组串包括时间戳、密钥等进行加密，然后用约定的方式解密获得数据。老式的单点通过域名方式将令牌存储在Cookie中，该方式不支持IP方式或者跨域，有一定局限。新式的单点运用重定向技术，由门户系统自动附加到应用系统接入接口，不受IP或者协议本身限制。

下面对几种常见的单点方式进行总结。

CAS登陆

CAS登陆包含登陆地址、验证地址以及退出地址。接入的应用系统首先需要登记通过参数service识别。

示例代码用C#编写，其他语言均可以改写。底层原理都可以使用抓包的方式分析。

没有会话的时候，就去访问CAS登陆地址进行登陆，通过参数service。验证成功后，CAS会回调service地址并将ticket参数提供给应用。通过获取的ticket以及service进行去验证，验证成功返回响应的XML包含user即登陆名。

一般情况下CAS的地址形如：

登陆：……/cas目录/login

验证：……/cas目录/proxyValidate

注销：……/cas目录/logout

public string getHost()

{

 Boolean https=Request.ServerVariables["HTTPS"].ToLower().Equals("on");

   String Host=Request.ServerVariables["HTTP_HOST"];

   return (https ? "https://" : "http://") + Host;

}

public String getEmployeeID()

{

  string loginaspx =HttpUtility.UrlEncode(getHost()+Request.ServerVariables["PATH_INFO"]) ;

  string ticket = Request.QueryString["ticket"];

  if (ticket == null || ticket.Length == 0)

  {

      Response.Redirect(loginServer + "?service=" + loginaspx);

      return null;

  }

  string validateUrl = validateServer + "?ticket=" + ticket + "&service=" + loginaspx;

 ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(CheckValidationResult);

   //验证返回的ticket,获取服务器返回的用户名

   try

   {

      StreamReader Reader = new StreamReader(new WebClient().OpenRead(validateUrl));

      string resp = Reader.ReadToEnd();

      NameTable nt = new NameTable();

      XmlNamespaceManager nsmgr = new XmlNamespaceManager(nt);

      XmlParserContext context = new XmlParserContext(null, nsmgr, null, XmlSpace.None);

     XmlTextReader reader = new XmlTextReader(resp, XmlNodeType.Element, context);

      string uid = null;

      while (reader.Read())

      {

          if (reader.IsStartElement())

          {

               string tag = reader.LocalName;

               if (tag == "user")

                   uid = reader.ReadString();

           }

       }

       reader.Close();

       return uid;

   }

   catch (Exception ee)

   {

        return null;

   }  

}

OAuth登陆

OAuth登陆方式，门户会提供相关接口，一般会提供约定的appKey、appPassword，通过响应JSON来获取信息。与CAS类似，第一步仍然需要通过接口获取accessToken，然后验证accessToken获取登陆名。

下面是C#代码示例，同时使用一个获取门户在线用户的方法，这样可以避免每次重复去登陆验证。

    public class JsonObjectAccessToken

    {

        public int type;

        public string access_token;

    }

   public class JsonObjectSession

    {

        public string status;

        public string desc;

        public Dictionary<string, string> obj;

    }

  public String getEmployeeID()

    {

       String appKey = configNode.Attributes["appKey"].Value;

       String appPassword = configNode.Attributes["appPassword"].Value;

       String serverName = configNode.Attributes["serverName"].Value;          //本地登录入口

      string redirectUrl=HostName+Request.ServerVariables["PATH_INFO"];         string ticket = Request.QueryString["code"];

        if (ticket == null || ticket.Length == 0)

        {

            //如果门户已登陆直接返回登陆信息

            String loginUserResponse = UserInfo.Text.Replace("callback(", "").Replace(")", "");

            if (loginUserResponse != null && loginUserResponse.Equals("") == false)

            {

                JsonObjectSession loginUserObject = JsonConvert.DeserializeObject<JsonObjectSession>(loginUserResponse);

                if (loginUserObject != null && loginUserObject.status.Equals("1"))

                {

                    return loginUserObject.obj["LoginName"];

                }

            }

            if (Session["ticket"] != null)

            {

                ticket = Session["ticket"].ToString();

            }

            if (ticket == null || ticket.Length == 0)

            {

                Response.Redirect(serverName + "/OAuth2/OAuth?client_id=" + appKey + "&redirect_uri=" + redirectUrl + "&forcelogin=false&state=STATE");

                return null;

            }

        }

        Session["ticket"] = ticket;

        string validateUrl = serverName + "/OAuth2/access_token?client_id=" + appKey + "&client_secret="+appPassword+"&redirect_uri=" + redirectUrl+"&code="+ticket;

        //验证返回的ticket,获取服务器返回的用户名

        try

        {

            String accessTokenResponse = getResponse(validateUrl);

            JsonObjectAccessToken accessTokenObject = JsonConvert.DeserializeObject<JsonObjectAccessToken>(accessTokenResponse);

            if (accessTokenObject != null)

            {

                if (accessTokenObject.type == 1)

                {

                   String accessToken = accessTokenObject.access_token;

                    //请求用户信息

                    String sessionUrl = serverName + "/SSOService.asmx/user_base_info?access_token=" + accessToken;

                    String sessionResponse = getResponse(sessionUrl).Replace("(","").Replace(")","");

                    JsonObjectSession sessionObject = JsonConvert.DeserializeObject<JsonObjectSession>(sessionResponse);

                    if (sessionObject.status.Equals("1"))

                    {

  return sessionObject.obj["UserLoginName"];

                    }

                    

                }

               if (Session["ticket"] != null) Session.Remove("ticket");

            }            

        }

        catch (Exception e)

        {

            Response.Write(e.StackTrace);            

        }

        return null;  

      

    }

    public static String getTimestamp()

    {

        System.DateTime startTime = TimeZone.CurrentTimeZone.ToLocalTime(new System.DateTime(1970, 1, 1, 0, 0, 0, 0));

        long t = (DateTime.Now.Ticks - startTime.Ticks) / 10000;

        return t.ToString();

    }

 public string getResponse(String url)

    {

        Stream stream = null;

        StreamReader Reader = null;

        string responseMsg = "";

        try

        {

   HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(url);   request.Method = "GET";              //以下可以自定义请求头部

     request.ContentType = "text/json;charset=utf-8";

     request.Timeout = 1000;

     request.Referer = HostName;

     HttpWebResponse response = (HttpWebResponse)request.GetResponse();

     stream = response.GetResponseStream();

     Reader = new StreamReader(stream, System.Text.Encoding.GetEncoding("utf-8"));//自行进行编码转换

    responseMsg = Reader.ReadToEnd();  //这里决定了 肯定不会出现EndofStream异常。

        }

        catch

        {

        }

        finally

        {

            if (Reader != null)

            {

                Reader.Close();

                Reader.Dispose();

            }

            Reader = null;

            if (stream != null)

            {

                stream.Close();

                stream.Dispose();

            }

            stream = null;

        } 

        return responseMsg;

    }

 

自定义加密

    public string getMD5(String plainText)

    {

        System.Security.Cryptography.MD5 key=System.Security.Cryptography.MD5.Create();

        Byte[] bytes = key.ComputeHash(System.Text.Encoding.UTF8.GetBytes(plainText));

        System.Text.StringBuilder builder = new System.Text.StringBuilder();

        foreach(Byte _byte in bytes)

        {

            builder.Append(_byte.ToString("x2").ToUpper());

        }

        return builder.ToString();

    }

 

    String verify=Request.QueryString["verify"];

    String userName=Request.QueryString["userName"];

    String strSysDatetime=Request.QueryString["strSysDatetime"];

    String jsName=Request.QueryString["jsName"];

    String key=……;

  if (getMD5(userName + key + strSysDatetime + jsName).Equals(verify))

    {

          return userName;

    }

 

门户与各接入应用系统之间的账户要实现同步，包括新增用户以及删除用户。比较完善的系统，还将涉及到密码的同步。

单点的方式本质不是很安全，可以伪造并进行模拟登陆。安全性最关键的一环就是验证。一旦获得用户名，后面都将放行了。