什么是单点登录?
我想肯定有一部分人“望文生义”的认为单点登录就是一个用户只能在一处登录,其实这是错误的理解(我记得我第一次也是这么理解的)。
单点登录指的是多个子系统只需要登录一个,其他系统不需要登录了(一个浏览器内)。一个子系统退出,其他子系统也全部是退出状态。
如果你还是不明白,我们举个实际的例子把。比如移动技术网首页: ,和移动技术网的搜索 。这就是两个系统(不同的域名)。如果你登录其中一个,另一个也是登录状态。如果你退出一个,另一个也是退出状态了。
那么这是怎么实现的呢?这就是我们今天要分析的问题了。
单点登录(sso)原理
首先我们需要一个认证中心(service),和两个子系统(client)。
当浏览器第一次访问client1时,处于未登录状态 -> 302到认证中心(service) -> 在service的登录页面登录(写入cookie记录登录信息) -> 302到client1(写入cookie记录登录信息)第二次访问client1 -> 读取client1中cookie登录信息 -> client1为登录状态
第一次访问client2 -> 读取client2中cookie中的登录信息 -> client2为未登录状态 -> 302到在service(读取service中的cookie为登录状态) -> 302到client2(写入cookie记录登录信息)
我们发现在访问client2的时候,中间时间经过了几次302重定向,并没有输入用户名密码去登录。用户完全感觉不到,直接就是登录状态了。
图解:
手撸一个sso
环境:.net framework 4.5.2
service:
我要评论
/// <summary>
/// 登录
/// </summary>
/// <param name="name"></param>
/// <param name="password"></param>
/// <param name="backurl"></param>
/// <returns></returns>
[httppost]
public string login(string name, string password, string backurl)
{
if (true)//todo:验证用户名密码登录
{
//用session标识会话是登录状态
session["user"] = "xx已经登录";
//在认证中心 保存客户端client的登录认证码
tokenids.add(session.sessionid, guid.newguid());
}
else//验证失败重新登录
{
return "/home/login";
}
return backurl + "?tokenid=" + tokenids[session.sessionid];//生成一个tokenid 发放到客户端
}
client:
public static list<string> tokens = new list<string>();
public async task<actionresult> index()
{
var tokenid = request.querystring["tokenid"];
//如果tokenid不为空,则是由service302过来的。
if (tokenid != null)
{
using (httpclient http = new httpclient())
{
//验证tokend是否有效
var isvalid = await http.getstringasync("http://localhost:8018/home/tokenidisvalid?tokenid=" + tokenid);
if (bool.parse(isvalid.tostring()))
{
if (!tokens.contains(tokenid))
{
//记录登录过的client (主要是为了可以统一登出)
tokens.add(tokenid);
}
session["token"] = tokenid;
}
}
}
//判断是否是登录状态
if (session["token"] == null || !tokens.contains(session["token"].tostring()))
{
return redirect("http://www.lhsxpumps.com/_localhost:8018/home/verification?backurl=http://localhost:26756/home");
}
else
{
if (session["token"] != null)
session["token"] = null;
}
return view();
}
效果图:
当然,这只是用较少的代码撸了一个较简单的sso。仅用来理解,勿用于实际应用。
identityserver4实现sso
环境:.net core 2.0
上面我们手撸了一个sso,接下来我们看看.net里的identityserver4怎么来使用sso。
首先建一个identityserver4_sso_service(mvc项目),再建两个identityserver4_sso_client(mvc项目)
在service项目中用nuget导入identityserver4 2.0.2、identityserver4.aspnetidentity 2.0.0、identityserver4.entityframework 2.0.0
在client项目中用nuget导入identitymodel 2.14.0
然后分别设置service和client项目启动端口为 5001(service)、5002(client1)、5003(client2)
在service中新建一个类config:
public class config
{
public static ienumerable<identityresource> getidentityresources()
{
return new list<identityresource>
{
new identityresources.openid(),
new identityresources.profile(),
};
}
public static ienumerable<apiresource> getapiresources()
{
return new list<apiresource>
{
new apiresource("api1", "my api")
};
}
// 可以访问的客户端
public static ienumerable<client> getclients()
{
return new list<client>
{
// openid connect hybrid flow and client credentials client (mvc)
//client1
new client
{
clientid = "mvc1",
clientname = "mvc client1",
allowedgranttypes = granttypes.hybridandclientcredentials,
requireconsent = true,
clientsecrets =
{
new secret("secret".sha256())
},
redirecturis = { "http://localhost:5002/signin-oidc" }, //注意端口5002 是我们修改的client的端口
postlogoutredirecturis = { "http://localhost:5002/signout-callback-oidc" },
allowedscopes =
{
identityserverconstants.standardscopes.openid,
identityserverconstants.standardscopes.profile,
"api1"
},
allowofflineaccess = true
},
//client2
new client
{
clientid = "mvc2",
clientname = "mvc client2",
allowedgranttypes = granttypes.hybridandclientcredentials,
requireconsent = true,
clientsecrets =
{
new secret("secret".sha256())
},
redirecturis = { "http://localhost:5003/signin-oidc" },
postlogoutredirecturis = { "http://localhost:5003/signout-callback-oidc" },
allowedscopes =
{
identityserverconstants.standardscopes.openid,
identityserverconstants.standardscopes.profile,
"api1"
},
allowofflineaccess = true
}
};
}
}
新增一个applicationdbcontext类继承于identitydbcontext:
public class applicationdbcontext : identitydbcontext<identityuser>
{
public applicationdbcontext(dbcontextoptions<applicationdbcontext> options)
: base(options)
{
}
protected override void onmodelcreating(modelbuilder builder)
{
base.onmodelcreating(builder);
}
}
在文件appsettings.json中配置数据库连接字符串:
"connectionstrings": {
"defaultconnection": "server=(local);database=identityserver4_demo;trusted_connection=true;multipleactiveresultsets=true"
}
在文件startup.cs的configureservices方法中增加:
public void configureservices(iservicecollection services)
{
services.adddbcontext<applicationdbcontext>(options =>
options.usesqlserver(configuration.getconnectionstring("defaultconnection"))); //数据库连接字符串
services.addidentity<identityuser, identityrole>()
.addentityframeworkstores<applicationdbcontext>()
.adddefaulttokenproviders();
services.addmvc();
string connectionstring = configuration.getconnectionstring("defaultconnection");
var migrationsassembly = typeof(startup).gettypeinfo().assembly.getname().name;
services.addidentityserver()
.adddevelopersigningcredential()
.addaspnetidentity<identityuser>()
.addconfigurationstore(options =>
{
options.configuredbcontext = builder =>
builder.usesqlserver(connectionstring,
sql => sql.migrationsassembly(migrationsassembly));
})
.addoperationalstore(options =>
{
options.configuredbcontext = builder =>
builder.usesqlserver(connectionstring,
sql => sql.migrationsassembly(migrationsassembly));
options.enabletokencleanup = true;
options.tokencleanupinterval = 30;
});
}
并在startup.cs文件里新增一个方法initializedatabase(初始化数据库):
/// <summary>
/// 初始数据库
/// </summary>
/// <param name="app"></param>
private void initializedatabase(iapplicationbuilder app)
{
using (var servicescope = app.applicationservices.getservice<iservicescopefactory>().createscope())
{
servicescope.serviceprovider.getrequiredservice<applicationdbcontext>().database.migrate();//执行数据库迁移
servicescope.serviceprovider.getrequiredservice<persistedgrantdbcontext>().database.migrate();
var context = servicescope.serviceprovider.getrequiredservice<configurationdbcontext>();
context.database.migrate();
if (!context.clients.any())
{
foreach (var client in config.getclients())//循环添加 我们直接添加的 5002、5003 客户端
{
context.clients.add(client.toentity());
}
context.savechanges();
}
if (!context.identityresources.any())
{
foreach (var resource in config.getidentityresources())
{
context.identityresources.add(resource.toentity());
}
context.savechanges();
}
if (!context.apiresources.any())
{
foreach (var resource in config.getapiresources())
{
context.apiresources.add(resource.toentity());
}
context.savechanges();
}
}
}
修改configure方法:
public void configure(iapplicationbuilder app, ihostingenvironment env)
{
//初始化数据
initializedatabase(app);
if (env.isdevelopment())
{
app.usedeveloperexceptionpage();
app.usebrowserlink();
app.usedatabaseerrorpage();
}
else
{
app.useexceptionhandler("/home/error");
}
app.usestaticfiles();
app.useidentityserver();
app.usemvc(routes =>
{
routes.maproute(
name: "default",
template: "{controller=home}/{action=index}/{id?}");
});
}
然后新建一个accountcontroller控制器,分别实现注册、登录、登出等。
新建一个consentcontroller控制器用于client回调。
然后在client的startup.cs类里修改configureservices方法:
public void configureservices(iservicecollection services)
{
services.addmvc();
jwtsecuritytokenhandler.defaultinboundclaimtypemap.clear();
services.addauthentication(options =>
{
options.defaultscheme = "cookies";
options.defaultchallengescheme = "oidc";
}).addcookie("cookies").addopenidconnect("oidc", options =>
{
options.signinscheme = "cookies";
options.authority = "http://localhost:5001";
options.requirehttpsmetadata = false;
options.clientid = "mvc2";
options.clientsecret = "secret";
options.responsetype = "code id_token";
options.savetokens = true;
options.getclaimsfromuserinfoendpoint = true;
options.scope.add("api1");
options.scope.add("offline_access");
});
}
对于client的身份认证就简单了:
[authorize]//身份认证
public iactionresult index()
{
return view();
}
/// <summary>
/// 登出
/// </summary>
/// <returns></returns>
public async task<iactionresult> logout()
{
await httpcontext.signoutasync("cookies");
await httpcontext.signoutasync("oidc");
return view("index");
}
效果图:
源码地址(demo可配置数据库连接后直接运行)
https://github.com/zhaopeiym/blogdemocode/tree/master/sso(%e5%8d%95%e7%82%b9%e7%99%bb%e5%bd%95)
总结
以上所述是小编给大家介绍的c#中单点登录的原理和使用,希望对大家有所帮助
如对本文有疑问, 点击进行留言回复!!
使用Visual Studio2019创建C#项目(窗体应用程序、控制台应用程序、Web应用程序)
C#实现获取本地内网(局域网)和外网(公网)IP地址的方法分析
网友评论