中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PHP中實現SSO單點登錄的方法

發布時間:2021-07-10 09:47:05 來源:億速云 閱讀:117 作者:chen 欄目:編程語言

這篇文章主要講解了“PHP中實現SSO單點登錄的方法”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“PHP中實現SSO單點登錄的方法”吧!

SSO( Single Sign On ),即單點登錄,是一種控制多個相關但彼此獨立的系統的訪問權限, 擁有這一權限的用戶可以使用單一的ID和密碼訪問某個或多個系統從而避免使用不同的用戶名或密碼,或者通過某種配置無縫地登錄每個系統 。

對于大型系統來說使用單點登錄可以減少用戶很多的麻煩。就拿百度來說吧,百度下面有很多的子系統——百度經驗、百度知道、百度文庫等等,如果我們使用這些系統的時候,每一個系統都需要我們輸入用戶名和密碼登錄一次的話,我相信用戶體驗肯定會直線下降。

與 SSO 交互的2個元素:1.  用戶,2. 系統,它的特點是:一次登錄,全部訪問。SSO 是訪問控制的一種,控制用戶能否登錄,即驗證用戶身份,而且是所有其它系統的身份驗證都在它這里進行,從整個系統層面來看 SSO ,它的核心就是這3個元素了:1. 用戶,2. 系統,3. 驗證中心。

PHP中實現SSO單點登錄的方法

1、同一個域但不同的子域如何進行單點登錄

假如我們的站點是按照下面的域名進行部署的:

  • sub1.onmpw.com

  • sub2.onmpw.com

這兩個站點共享同一域 onmpw.com 。

默認情況下,瀏覽器會發送 cookie 所屬的域對應的主機。也就是說,來自于 sub1.onmpw.com 的 cookie 默認所屬的域是 .sub1.onmpw.com 。因此,sub2.onmpw.com 不會得到任何的屬于 sub1.onmpw.com 的 cookie 信息。因為它們是在不同的主機上面,并且二者的子域也是不同的。

1.1 設置二者的 cookie 信息在同一個域下
  • 登錄 sub1.onmpw.com 系統

  • 登錄成功以后,生成唯一標識符Token(知道token,就知道哪個用戶登錄了)。設置 cookie 信息,這里需要注意,將Token存到 cookie 中,但是在設置的時候必須將這 cookie 的所屬域設置為頂級域 .onmpw.com 。這里可以使用 setcookie 函數,該函數的第四個參數是用來設置 cookie 所述域的。

setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);復制代碼
  • 訪問 sub2.onmpw.com 系統,瀏覽器會將 cookie 中的信息 token 附帶在請求中一塊兒發送到 sub2.onmpw.com 系統。這時該系統會先檢查 session 是否登錄,如果沒有登錄則驗證 cookie 中的 token 從而實現自動登錄。

  • sub2.onmpw.com 登錄成功以后再寫 session 信息。以后的驗證就用自己的 session 信息驗證就可以了。

1.2 退出登錄

這里存在一個問題就是 sub1 系統退出以后,除了可以清除自身的 session 信息和所屬域為 .onmpw.com 的 cookie 的信息。它并不能清除 sub2 系統的 session 信息。那 sub2 仍然是登錄狀態。也就是說,這種方式雖說可以實現單點登錄,但是不能實現同時退出。原因是,sub1 和 sub2 雖說通過 setcookie 函數的設置可以共享 cookie,但是二者的sessionId 是不同的,而且這個 sessionId 在瀏覽器中也是以 cookie 的形式存儲的,不過它所屬的域并不是 .onmpw.com 。

那如何解決這個問題呢?我們知道,對于這種情況,只要是兩個系統的 sessionId 相同就可以解決這個問題了。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com 。在PHP中,sessionId 是在 session_start() 調用以后生成的。要想使sub1 和 sub2 有共同的 sessionId ,那必須在 session_start() 之前設置 sessionId 所屬域:

ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.onmpw.com');
ini_set('session.cookie_lifetime', '0');復制代碼
  • 1、經過上面的步驟就可以實現不同二級域名的單點登錄與退出。

  • 2、不過還可以再簡化,如確保 sessionId 相同就可以實現不同二級域名的單點登錄與退出。

  • 參考文章: https://www.onmpw.com/tm/xwzj/network_145.html

2、不同域之間如何實現單點登錄 - CAS

假設我們需要在以下這些站之間實現單點登錄

  • www.onmpw1.com

  • www.onmpw2.com

  • www.onmpw3.com

上面的方案就行不通了。

目前 github 上有開源的 SSO 解決方案,實現原理與主流 SSO 差不多:https://github.com/jasny/sso

核心原理:

  • 1、客戶端訪問不同的子系統,子系統對應的 SSO 用戶服務中心使用相同的 SessionId

  • 2、子系統 Broker 與 Server 間通過 attach 進行了授權鏈接綁定

同根域名不指定 domain 根域名,第一次授權需要每次都要跳轉到授權服務,但是指定了domain, 同根域名只要有一個授權成功,都可以共用那個 cookie 了,下次就不用再授權了,直接就可以請求用戶信息了。

第一次訪問A:

PHP中實現SSO單點登錄的方法

第二次訪問B:

PHP中實現SSO單點登錄的方法

2.1 登錄狀態判斷

用戶到認證中心登錄后,用戶和認證中心之間建立起了會話,我們把這個會話稱為全局會話。當用戶后續訪問系統應用時,我們不可能每次應用請求都到認證中心去判定是否登錄,這樣效率非常低下,這也是單Web應用不需要考慮的。

我們可以在系統應用和用戶瀏覽器之間建立起局部會話,局部會話保持了客戶端與該系統應用的登錄狀態,局部會話依附于全局會話存在,全局會話消失,局部會話必須消失。

用戶訪問應用時,首先判斷局部會話是否存在,如存在,即認為是登錄狀態,無需再到認證中心去判斷。如不存在,就重定向到認證中心判斷全局會話是否存在,如存在,通知該應用,該應用與客戶端就建立起它們之間局部會話,下次請求該應用,就不去認證中心驗證了。

2.2 退出

用戶在一個系統退出了,訪問其它子系統,也應該是退出狀態。要想做到這一點,應用除結束本地局部會話外,還應該通知認證中心該用戶退出。

認證中心接到退出通知,即可結束全局會話,用戶訪問其它應用時,都顯示已登出狀態。

需不需要立即通知所有已建立局部會話的子系統,將它們的局部會話銷毀,可根據實際項目來。

感謝各位的閱讀,以上就是“PHP中實現SSO單點登錄的方法”的內容了,經過本文的學習后,相信大家對PHP中實現SSO單點登錄的方法這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

黄山市| 穆棱市| 临朐县| 洛宁县| 柳江县| 龙陵县| 涞源县| 静乐县| 沾益县| 凤山县| 奉贤区| 大冶市| 自治县| 绥宁县| 深水埗区| 洪雅县| 古丈县| 凤山市| 绍兴市| 鄂温| 静安区| 鹰潭市| 文登市| 延寿县| 西峡县| 内乡县| 枝江市| 新干县| 杭州市| 赤壁市| 讷河市| 泽州县| 渭南市| 绵阳市| 宿松县| 游戏| 吉隆县| 馆陶县| 西宁市| 从化市| 九龙县|