《PHP實戰：PHP中SSO Cookie登錄分析和實現》要點：
本文介紹了PHP實戰：PHP中SSO Cookie登錄分析和實現，希望對您有用。如果有疑問，可以聯系我們。

PHP實例什么是SSO?

PHP實例單點登錄SSO(Single Sign-On)是身份管理中的一部分.SSO的一種較為通俗的定義是：SSO是指訪問同一服務器不同應用中的受保護資源的同一用戶,只需要登錄一次,即通過一個應用中的安全驗證后,再訪問其他應用中的受保護資源時,不再需要重新登錄驗證

PHP實例SSO的用途：

PHP實例目前的企業應用環境中,往往有很多的應用系統,淘寶、天貓、愛淘寶等等產品和如辦公自動化(OA)系統,財務管理系統,檔案管理系統,信息查詢系統等等.這些應用系統服務于企業的信息化建設,為企業帶來了很好的效益.但是,用戶在使用這些應用系統時,并不方便.用戶每次使用系統,都必須輸入用戶名稱和用戶密碼,進行身份驗證；而且應用系統不同,用戶賬號就不同,用戶必須同時牢記多套用戶名稱和用戶密碼.特別是對于應用系統數目較多,用戶數目也很多的企業,這個問題尤為突出.問題的原因并不是系統開發出現失誤,而是缺少整體規劃,缺乏統一的用戶登錄平臺,使用SSO技術可以解決以上這些問題

PHP實例SSO的好處：

PHP實例方便用戶：從用戶實際使用角度考慮

PHP實例用戶使用應用系統時,能夠一次登錄,多次使用.用戶不再需要每次輸入用戶名稱和用戶密碼,也不需要牢記多套用戶名稱和用戶密碼.單點登錄平臺能夠改善用戶使用應用系統的體驗.
方便管理員：從日常維護管理角度考慮

PHP實例現在很多大的互聯網公司都會有很多的應用,比如以下是淘寶網的截圖：

PHP實例

PHP實例天貓 聚劃算 頭條等都是不同的應用,有的甚至采用完全不同的域名,但是所有在淘寶注冊的用戶都是使用的一套用戶名和口令,如果在這些系統直接切換做不到登陸狀態的同 步,體驗是非常差的.再舉個栗子,很多公司內部系統也有很多個,比如HR系統,財務系統,考勤系統等等,如果員工在一個系統登陸了,跳轉到另外一個系統還 需要登陸,就會讓人很不爽...

PHP實例基于此,SSO(Single Sign On)應運而生.當然,我們來現實這個需求的方法有很多種,使用Cookie是其中比較簡單的方式,主要需要解決的問題是:Cookie是不能跨域傳遞的,如何將一個域的Cookie通知給其它應用(不在同一個域)?

PHP實例so,如果你對cookie機制不太熟悉,請先google,并大致了解為什么cookie會設計成不能跨域等相關問題.

PHP實例????? 系統管理員只需要維護一套統一的用戶賬號,方便、簡單.相比之下,系統管理員以前需要管理很多套的用戶賬號.每一個應用系統就有一套用戶賬號,不僅給管理上帶來不方便,而且,也容易出現管理漏洞.

PHP實例簡化應用系統開發：從應用擴展角度考慮

PHP實例????? 開發新的應用系統時,可以直接使用單點登錄平臺的用戶認證服務,簡化開發流程.單點登錄平臺通過提供統一的認證平臺,實現單點登錄.因此,應用系統并不需要開發用戶認證程序.??
如何實現?

PHP實例SSO有以下幾種方式實現

PHP實例共享Cookie

PHP實例當我們的子系統都在一個父級域名下時,我們可以將Cookie種在父域下,這樣瀏覽器同域名下的Cookie則可以共享,這樣可以通過Cookie加解密的算法獲取用戶SessionID,從而實現SSO.

PHP實例但是,后面我們發現這種方式有幾種弊端：
a. 所有同域名的系統都能獲取SessionID,易被修改且不安全；
b. 跨域無法使用.

PHP實例ticket驗證,我們目前采取的是這種方式

PHP實例這種實現的SSO有以下幾個步驟：

PHP實例a. 用戶訪問某個子系統,發現如果未登錄,則引導用戶跳轉到SSO登錄頁面；
b. 判斷SSO是否已經登錄；
c. 如果已經登錄,直接跳轉到回調地址,并返回認證ticket；
d. 如果未登錄,用戶正確輸入用戶名/密碼,認證通過跳轉到回調地址,并返回認證ticket；
e. 子系統獲取ticket,調用SSO獲取用戶uid等信息,成功后讓用戶登錄.

PHP實例前面已經說了,如何通過Cookie來實現SSO,主要是如何解決跨域問題.首先來談談Set-Cookie中的domain屬性.

PHP實例Cookie domain

PHP實例為了讓Http協議在一定程度上保持上下文,server在響應的頭部可以加入Set-Cookie來寫入一些數據到客戶端,Set-Cookie中的

PHP實例domain字段用來表示這個cookie所在的域.

PHP實例栗子：

PHP實例我們訪問www.cookieexm.com,如果server在返回頭部中加入了Set-Cookie,如果不指定domain,那么默認這個cookie的域就是www.cookieexm.com,也就是只有訪問www.cookieexm.com時客戶端才會把這個cookie返給服務端.
如果我們指定domain為.cookieexm.com,那么客戶端在訪問以下域名：www.cookieexm.com www1.cookieexm.com a.cookieexm.com ***.cookieexm.com 時都能夠把cookie返回.

PHP實例所以,我們得出一條結論：客戶端對cookie的domain的匹配是從結尾進行匹配的,有了這個基礎,我們就可以實現我們的SSO登陸了.

PHP實例cookie中需要注意的

PHP實例設置為http-only

PHP實例涉及登錄憑證(如票據或者用戶名)應該加密

PHP實例cookie不能存放隱私數據

PHP實例具體方案

PHP實例假設我們需要在如下子系統 **.a1.a2 **.b1.b2 **.c1.c2間實現單點登錄,首先我們需要一個專門用于單點登陸的認證系統(sso.s1.s2).假設目前系統處于未登錄狀態,訪問www.a1.a2為例：

PHP實例

PHP實例分別看一下每個步驟作用：

PHP實例哀求www.a1.a2

PHP實例www.a1.a2收到哀求,檢查是否攜帶登錄的cookie,目前沒有登陸過,那么重定向到sso認證中心
SSO提供登陸窗口,用戶輸入用戶名 口令.SSO系統驗證用戶名和口令

PHP實例這一步是關鍵,如果登錄成功,首先把SSO系統的Cookie放到客戶端；同時,將用戶的認證信息傳遞通過重定向傳遞給業務方,注意,這個傳遞明顯不能通過cookie來傳遞(不同域嘛),一般是通過加密的querystring.

PHP實例業務方的驗證系統收到sso認證信息,再進行認證
業務方認證通過之后,把認證結果的cookie寫入到.a1.a2,至此,SSO認證完成
重定向到業務系統www.a1.a2,由前面的結論可知,此時所有以.a1.a2結尾的業務系統都可以使用這個認證之后的cookie

PHP實例response

PHP實例說明:
業務認證系統不一定存在,有些不是太敏感的系統可以直接從SSO Authorization重定向到業務系統,并把SSO的認證信息帶過去.

PHP實例承接上文,此時,如果用戶訪問www.b1.b2應用,如下圖所示：

PHP實例

PHP實例與訪問www.a1.a2不同的是我們在重定向到SSO Authorization時已經不需要再去輸入用戶名,因為sso.s1.s2此時已經存有cookie,直接用cookie驗證.

PHP實例以上,就是一個簡單的基于Cookie的登陸系統.

PHP實例其中幾個問題需要重點解決

PHP實例如何高效存儲大量臨時性的信任數據
如何防止信息傳遞過程被篡改
如何讓SSO系統信任登錄系統和免登系統
對于第一個問題,一般可以采用類似與memcached的分布式緩存的方案,既能提供可擴展數據量的機制,也能提供高效訪問

PHP實例對于第二個問題,一般采取數字簽名的方法,要么通過數字證書簽名,要么通過像md5的方式,這就需要SSO系統返回免登URL的時候對需驗證的參數進行 md5加密,并帶上token一起返回,最后需免登的系統進行驗證信任關系的時候,需把這個token傳給SSO系統,SSO系統通過對token的驗證 就可以辨別信息是否被改過

PHP實例對于最后一個問題,可以通過白名單來處理,說簡單點只有在白名單上的系統才能哀求生產信任關系,同理只有在白名單上的系統才能被免登錄.

維易PHP培訓學院每天發布《PHP實戰：PHP中SSO Cookie登錄分析和實現》等實戰技能，PHP、MYSQL、LINUX、APP、JS,CSS全面培養人才。

轉載請注明本頁網址：
http://www.snjht.com/jiaocheng/8444.html