歡迎光臨
每天分享高質量文章

淺析C#中單點登入的原理和使用

來自:農碼一生

連結:https://www.cnblogs.com/zhaopei/p/SSO.html

閱讀目錄

  • 單點登入(SSO)原理

  • 手擼一個SSO

  • IdentityServer4實現SSO

    原始碼地址(demo可配置資料庫連線後直接執行)

    推薦閱讀

什麼是單點登入?

我想肯定有一部分人“望文生義”的認為單點登入就是一個使用者只能在一處登入,其實這是錯誤的理解(我記得我第一次也是這麼理解的)。


單點登入指的是多個子系統只需要登入一個,其他系統不需要登入了(一個瀏覽器內)。一個子系統退出,其他子系統也全部是退出狀態。


如果你還是不明白,我們舉個實際的例子把。比如部落格園首頁:

https://www.cnblogs.com,和部落格園的找找看http://zzk.cnblogs.com。這就是兩個系統(不同的域名)。如果你登入其中一個,另一個也是登入狀態。如果你退出一個,另一個也是退出狀態了。


那麼這是怎麼實現的呢?這就是我們今天要分析的問題了。

單點登入(SSO)原理

  • 首先我們需要一個認證中心(Service),和兩個子系統(Client)。

  • 當瀏覽器第一次訪問Client1時,處於未登入狀態 -> 302到認證中心(Service) -> 在Service的登入頁面登入(寫入Cookie記錄登入資訊) -> 302到Client1(寫入Cookie記錄登入資訊)

  • 第二次訪問Client1 -> 讀取Client1中Cookie登入資訊 -> Client1為登入狀態

  • 第一次訪問Client2 -> 讀取Client2中Cookie中的登入資訊 -> Client2為未登入狀態 -> 302到在Service(讀取Service中的Cookie為登入狀態) -> 302到Client2(寫入Cookie記錄登入資訊)

 

我們發現在訪問Client2的時候,中間時間經過了幾次302重定向,並沒有輸入使用者名稱密碼去登入。使用者完全感覺不到,直接就是登入狀態了。

 

圖解

手擼一個SSO

環境:.NET Framework 4.5.2


Service:

 

/// 
/// 登入
/// 


/// 
/// 
/// 
/// 
[HttpPost]
public string Login(string name, string passWord, string backUrl)
{
    if (true)//TODO:驗證使用者名稱密碼登入
    {
        //用Session標識會話是登入狀態
        Session[“user”] = “XX已經登入”;
        //在認證中心 儲存客戶端Client的登入認證碼
        TokenIds.Add(Session.SessionID, Guid.NewGuid());
    }
    else//驗證失敗重新登入
    {
        return “/Home/Login”;
    }
    return backUrl + “?tokenId=” + TokenIds[Session.SessionID];//生成一個tokenId 發放到客戶端
}

Client:

 

public static List<string> Tokens = new List<string>();
public async Task Index()
{
    var tokenId = Request.QueryString["tokenId"];
    //如果tokenId不為空,則是由Service302過來的。
    if (tokenId != null)
    {
        using (HttpClient http = new HttpClient())
        {
            //驗證Tokend是否有效
            var isValid = await http.GetStringAsync("http://localhost:8018/Home/TokenIdIsValid?tokenId=" + tokenId);
            if (bool.Parse(isValid.ToString()))
            {
                if (!Tokens.Contains(tokenId))
                {
                    //記錄登入過的Client (主要是為了可以統一登出)
                    Tokens.Add(tokenId);
                }
                Session["token"] = tokenId;
            }
        }
    }
    //判斷是否是登入狀態
    if (Session["token"] == null || !Tokens.Contains(Session["token"].ToString()))
    {
        return Redirect("http://localhost:8018/Home/Verification?backUrl=http://localhost:26756/Home");
    }
    else
    {
        if (Session["token"] != null)
            Session["token"] = null;
    }
    return View();
}

效果圖

 

當然,這隻是用較少的程式碼擼了一個較簡單的SSO。僅用來理解,勿用於實際應用。

IdentityServer4實現SSO

環境:.NET Core 2.0


上面我們手擼了一個SSO,接下來我們看看.NET裡的IdentityServer4怎麼來使用SSO。
首先建一個IdentityServer4_SSO_Service(MVC專案),再建兩個IdentityServer4_SSO_Client(MVC專案)


在Service專案中用nuget匯入IdentityServer4 2.0.2、IdentityServer4.AspNetIdentity 2.0.0、IdentityServer4.EntityFramework 2.0.0


在Client專案中用nuget匯入IdentityModel 2.14.0


然後分別設定Service和Client專案啟動埠為 5001(Service)、5002(Client1)、5003(Client2)


在Service中新建一個類Config:

public class Config
{        
    public static IEnumerable GetIdentityResources()
        
{
            return new List
            {
                new IdentityResources.OpenId(),
                new IdentityResources.Profile(),
            };
        }

    public static IEnumerable GetApiResources()
    
{
        return new List
        {
            new ApiResource("api1""My API")
        };
    }

    // 可以訪問的客戶端
    public static IEnumerable GetClients()
        
{           
            return new List
            {               
                // OpenID Connect hybrid flow and client credentials client (MVC)
                //Client1
                new Client
                {
                    ClientId = "mvc1",
                    ClientName = "MVC Client1",
                    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
                    RequireConsent = true,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    RedirectUris = { "http://localhost:5002/signin-oidc" }, //註意埠5002 是我們修改的Client的埠
                    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
                    AllowedScopes =
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        "api1"
                    },
                    AllowOfflineAccess = true
                },
                 //Client2
                new Client
                {
                    ClientId = "mvc2",
                    ClientName = "MVC Client2",
                    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
                    RequireConsent = true,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    RedirectUris = { "http://localhost:5003/signin-oidc" },
                    PostLogoutRedirectUris = { "http://localhost:5003/signout-callback-oidc" },
                    AllowedScopes =
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        "api1"
                    },
                    AllowOfflineAccess = true
                }
            };
        }
}

 

新增一個ApplicationDbContext類繼承於IdentityDbContext:

public class ApplicationDbContext : IdentityDbContext<IdentityUser>
{
    public ApplicationDbContext(DbContextOptions options)
        : base(options)
    {
    } 
    protected override void OnModelCreating(ModelBuilder builder)
    {
        base.OnModelCreating(builder);
    }
}

 

在檔案appsettings.json中配置資料庫連線字串:

"ConnectionStrings": {
    "DefaultConnection""Server=(local);Database=IdentityServer4_Demo;Trusted_Connection=True;MultipleActiveResultSets=true"
  }

 

在檔案Startup.cs的ConfigureServices方法中增加:

public void ConfigureServices(IServiceCollection services)
{
    services.AddDbContext(options =>
       options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"))); //資料庫連線字串
    services.AddIdentity()
        .AddEntityFrameworkStores()
        .AddDefaultTokenProviders();

    services.AddMvc();

    string connectionString = Configuration.GetConnectionString("DefaultConnection");
    var migrationsAssembly = typeof(Startup).GetTypeInfo().Assembly.GetName().Name;
    services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddAspNetIdentity() 
        .AddConfigurationStore(options =>
        {
            options.ConfigureDbContext = builder =>
                builder.UseSqlServer(connectionString,
                    sql => sql.MigrationsAssembly(migrationsAssembly));
        })
        .AddOperationalStore(options =>
        {
            options.ConfigureDbContext = builder =>
                builder.UseSqlServer(connectionString,
                    sql => sql.MigrationsAssembly(migrationsAssembly));
            options.EnableTokenCleanup = true;
            options.TokenCleanupInterval = 30;
        });
}

 

併在Startup.cs檔案裡新增一個方法InitializeDatabase(初始化資料庫):

 

/// 
/// 初始資料庫
/// 


/// 
private void InitializeDatabase(IApplicationBuilder app)
{
    using (var serviceScope = app.ApplicationServices.GetService().CreateScope())
    {
        serviceScope.ServiceProvider.GetRequiredService().Database.Migrate();//執行資料庫遷移
        serviceScope.ServiceProvider.GetRequiredService().Database.Migrate();

        var context = serviceScope.ServiceProvider.GetRequiredService();
        context.Database.Migrate();
        if (!context.Clients.Any())
        {
            foreach (var client in Config.GetClients())//迴圈新增 我們直接新增的 5002、5003 客戶端
            {
                context.Clients.Add(client.ToEntity());
            }
            context.SaveChanges();
        } 
        if (!context.IdentityResources.Any())
                {
                    foreach (var resource in Config.GetIdentityResources())
                    {
                        context.IdentityResources.Add(resource.ToEntity());
                    }
                    context.SaveChanges();
                } 
        if (!context.ApiResources.Any())
                {
                    foreach (var resource in Config.GetApiResources())
                    {
                        context.ApiResources.Add(resource.ToEntity());
                    }
                    context.SaveChanges();
                }
    }
}

 

修改Configure方法:

 

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
 
{
     //初始化資料
     InitializeDatabase(app);
     if (env.IsDevelopment())
     {
         app.UseDeveloperExceptionPage();
         app.UseBrowserLink();
         app.UseDatabaseErrorPage();
     }
     else
     {
         app.UseExceptionHandler("/Home/Error");
     }
     app.UseStaticFiles();
     app.UseIdentityServer();
     app.UseMvc(routes =>
     {
         routes.MapRoute(
             name: "default",
             template"{controller=Home}/{action=Index}/{id?}");
     });
 }

然後新建一個AccountController控制器,分別實現註冊、登入、登出等。


新建一個ConsentController控制器用於Client回呼。


然後在Client的Startup.cs類裡修改ConfigureServices方法:

 

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
    services.AddAuthentication(options =>
    {
        options.DefaultScheme = "Cookies";
        options.DefaultChallengeScheme = "oidc";
    }).AddCookie("Cookies").AddOpenIdConnect("oidc", options =>
    {
        options.SignInScheme = "Cookies";
        options.Authority = "http://localhost:5001";
        options.RequireHttpsMetadata = false;
        options.ClientId = "mvc2";
        options.ClientSecret = "secret";
        options.ResponseType = "code id_token";
        options.SaveTokens = true;
        options.GetClaimsFromUserInfoEndpoint = true;
        options.Scope.Add("api1");
        options.Scope.Add("offline_access");
    });
}

對於Client的身份認證就簡單了:

 

[Authorize]//身份認證
public IActionResult Index()
{
    return View();
}

/// 
/// 登出
/// 


/// 
public async Task Logout()
{
    await HttpContext.SignOutAsync(“Cookies”);
    await HttpContext.SignOutAsync(“oidc”);
    return View(“Index”);
}

 

效果圖:

 

 

原始碼地址(demo可配置資料庫連線後直接執行)

 

  • https://github.com/zhaopeiym/BlogDemoCode/tree/master/sso(%E5%8D%95%E7%82%B9%E7%99%BB%E5%BD%95)

 

推薦閱讀

 

  • http://www.cnblogs.com/ywlaker/p/6113927.html

  • https://identityserver4.readthedocs.io/en/release

已同步到看一看
贊(0)

分享創造快樂