什么是單點登錄系統(tǒng)？用nodejs怎么實現(xiàn)？下面本篇文章給大家介紹一下使用node實現(xiàn)單點登錄系統(tǒng)的方法，希望對大家有所幫助！

單點登錄SSO(Single Sign On),就是把2個及以上的業(yè)務(wù)系統(tǒng)中的登錄功能剝離出來，形成一個新的系統(tǒng)，做到一次登錄后在任意的業(yè)務(wù)系統(tǒng)中都無需登錄的效果。

一. 基礎(chǔ)知識

1.1 同源策略

源 = 協(xié)議 域名 端口

以http://www.a.com為例：

• https://www.a.com ?(協(xié)議不同)
• http://www.b.com ?(域名不同)
• http://www.a.com:3000 ?(端口不同)

同源策略是瀏覽器的行為，它通過確保應(yīng)用下的資源只能被本應(yīng)用訪問，來保證安全。

1.2 會話機制

由于http協(xié)議是無狀態(tài)協(xié)議(客戶端和服務(wù)器端數(shù)據(jù)交換完畢，會關(guān)閉連接，下次請求重新建立連接)，但我們需要做記住密碼等功能時，很明顯需要將會話記錄下來?！鞠嚓P(guān)教程推薦：nodejs視頻教程】

常用的會話跟蹤就是cookie和session，簡單的理解它們就是可以存放key，value的數(shù)據(jù)結(jié)構(gòu)，區(qū)別在于cookie保存在客戶端，session保存在服務(wù)器端。

二. 單點登錄

1. 同父域SSO

同父域，如www.app1.aaa.com,www.app2.aaa.com這兩個服務(wù)器都是在.aaa.com的父域名。
默認情況下，兩個服務(wù)器下頁面之間的cookie是互相訪問不到的。

但是我們可以通過設(shè)置cookie的domain屬性為共通的父域名,使得兩個服務(wù)器下頁面之間的cookie可以相互訪問到。

router.get('/createCookie',?async?(ctx,?next)?=>?{
??ctx.cookies.set('username',?'123',?{
????maxAge:?60?*?60?*?1000,
????httpOnly:?false,
????path:?'/',
????domain:'.a.com'?//設(shè)置domain為共通的父域名
??});
??ctx.body?=?"create?cookie?ok"})router.get('/getCookie',?async?(ctx,?next)?=>?{
??let?username=ctx.cookies.get('username')
??if?(username){
????ctx.body=username??}else{
????ctx.body='no?cookie'
??}})

2. 跨域SSO

當(dāng)我們的域名為www.a.com,www.b.com時，無論怎樣設(shè)置domain都沒用了。

那么就要想辦法將身份憑證(token)寫入到所有域的cookie中。

2.1 跨域?qū)慶ookie

2.1.1 利用標(biāo)簽跨域?qū)慶ookie(jsonp)

在http://www.a.com/index.js中直接向https://www.c.com:3000/sso直接發(fā)送網(wǎng)絡(luò)請求，是無法跨域?qū)懭隿ookie的。

??<script>
    $.ajax({
      url: &#39;https://www.c.com:3000/sso?key=username&value=123&#39;,
      method: &#39;get&#39;,
    })
  </script>

但是我們可以通過標(biāo)簽發(fā)起跨域請求，寫入cookie

<script></script>

或者使用jquery jsonp的方式發(fā)起跨域請求，寫入cookie，這種方式的原理也是通過標(biāo)簽?zāi)軌蚩缬驅(qū)崿F(xiàn)的。

?$.ajax({
??????url:?'https://www.c.com:3000/sso?key=username&value=123',
??????method:?'get',
??????dataType:'jsonp'
????})

這樣通過標(biāo)簽就實現(xiàn)了往www.a.com中寫入了domain為www.c.com的跨域cookie.

后端

const?options?=?{
??key:?fs.readFileSync(path.join(__dirname,?'./https/privatekey.pem')),
??cert:?fs.readFileSync(path.join(__dirname,?'./https/certificate.pem')),
??secureOptions:?'TLSv1_2_method'?//force?TLS?version?1.2}var?server?=?https.createServer(options,app.callback());??//只能使用https協(xié)議寫cookierouter.get('/sso',?async?(ctx,?next)?=>?{
??let?{
????key,?value??}?=?ctx.request.query
??ctx.cookies.set(key,?value,?{
????maxAge:?60?*?60?*?1000,?//有效時間，單位毫秒
????httpOnly:?false,?//表示?cookie?是否僅通過?HTTP(S)?發(fā)送，,?且不提供給客戶端?JavaScript?(默認為?true).
????path:?'/',
????sameSite:?'none',?//限制第三方?Cookie
????secure:?true?//cookie是否僅通過?HTTPS?發(fā)送
??});
??ctx.body?=?'create?Cookie?ok'})

注意:

• 瀏覽器未寫入cookie報錯his set-cookie was blocked due to http-only
  http-only：表示 cookie 是否僅通過 HTTP(S) 發(fā)送，, 且不提供給客戶端 JavaScript (默認為 true).
  所以要將httpOnly設(shè)置為false.

• 瀏覽器未寫入cookie報錯this set-cookie was blocked due to user preference
  這個真的坑，因為我是無痕模式打開的瀏覽器，但是chrome瀏覽器默認無痕模式下禁用第三方cookie，修改為允許所有cookie就行了.
  

• 瀏覽器未寫入cookie報錯this set cookie was blocked because it has the SameSite attribute but Secure not set
  需要設(shè)置sameSite和secure屬性

• 瀏覽器未寫入cookie報錯server error Error: Cannot send secure cookie over unencrypted connection
  這個我覺得是koa框架寫cookie的限制吧，它只能支持https寫cookie…，于是我把www.c.com改為了https服務(wù)器.

2.1.2 p3p協(xié)議頭實現(xiàn)IE瀏覽器跨域

上面說的jsonp的方式在chrome瀏覽器中完美運行，但是IE瀏覽器對于cookie更加嚴格，只用上面方式無法寫入cookie，解決辦法就是加上p3p的響應(yīng)頭。

router.get('/sso',?async?(ctx,?next)?=>?{
??let?{
????key,?value??}?=?ctx.request.query
??ctx.cookies.set(key,?value,?{
????maxAge:?60?*?60?*?1000,?//有效時間，單位毫秒
????httpOnly:?false,
????path:?'/',
????sameSite:?'none',
????secure:?true
??});
??ctx.set("P3P",?"CP='CURa?ADMa?DEVa?PSAo?PSDo?OUR?BUS?UNI?PUR?INT?DEM?STA?PRE?COM?NAV?OTC?NOI?DSP?COR'")?//p3p響應(yīng)頭
??ctx.body?=?'create?Cookie?ok'})

2.1.3 url參數(shù)實現(xiàn)跨域信息傳遞

訪問http://www.c.com:3000/createToken?from=http://www.a.com/createCookie

www.c.com上生成token后將url重寫，帶上token，重定向到www.a.com

router.get('/createToken',?async?(ctx,?next)?=>?{
??let?{?from?}?=?ctx.request.query??let?token?=?"123";
??ctx.response.redirect(`${from}?token=${token}`)})

www.a.com上從url上獲取token，存入cookie

router.get('/createCookie',?async?(ctx,?next)?=>?{
??let?{?token?}?=?ctx.request.query
??ctx.cookies.set('token',?token,?{
????maxAge:?60?*?60?*?1000,?//有效時間，單位毫秒
????httpOnly:?false,
????path:?'/',
??});
??ctx.body?=?'set?cookie?ok'})

這樣就實現(xiàn)了跨域信息的傳遞.與上面的方式不同，這種方法只是單純的http請求，適用于所有瀏覽器，但是缺點也很明顯，每次只能分享給一個服務(wù)器。

2.2 跨域讀cookie

2.2.1 利用標(biāo)簽跨域讀cookie(jsonp)

之前2.1.1利用標(biāo)簽在www.a.com中寫入了www.c.com的cookie(username,123),現(xiàn)在想要www.a.com請求的時候攜帶上www.c.com的cookie，也就是說要跨域讀cookie.

其實也是同樣的方法，在www.a.com上利用跨域訪問訪問www.c.com,會自動的帶上domain為www.c.com的cookie。
www.a.com/index.js

<script></script>

www.c.com

router.get('/readCookie',?async?(ctx,?next)?=>?{
??let?username?=?ctx.cookies.get('username')
??console.log('cookie',?username)})

可以看到讀取到了存儲在www.a.com里面domain為www.c.com的cookie.

3. nodejs實現(xiàn)單點登錄系統(tǒng)實戰(zhàn)

效果如圖所示:

• 第一次訪問www.a.com首頁

• 跳轉(zhuǎn)到www.c.com:3000登錄頁面,登錄成功后跳轉(zhuǎn)www.a.com首頁

• 再次訪問www.a.com首頁，無需登錄直接跳轉(zhuǎn)

• 訪問www.b.com首頁，無需登錄直接跳轉(zhuǎn)

源碼: https://github.com/wantao666/sso-nodejs

詳細設(shè)計:

更多node相關(guān)知識，請訪問：nodejs 教程！

以上是什么是單點登錄系統(tǒng)？用nodejs怎么實現(xiàn)？的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！