深入浅析C#中单点登录的原理和使用

什么是单点登录?

我想肯定有一部分人“望文生义”的认为单点登录就是一个用户只能在一处登录,其实这是错误的理解(我记得我第一次也是这么理解的)。

单点登录指的是多个子系统只需要登录一个,其他系统不需要登录了(一个浏览器内)。一个子系统退出,其他子系统也全部是退出状态。

如果你还是不明白,我们举个实际的例子把。比如我们首页:https://www.jb51.ne ,和我们的搜索http://so.jb51.net 。这就是两个系统(不同的域名)。如果你登录其中一个,另一个也是登录状态。如果你退出一个,另一个也是退出状态了。

那么这是怎么实现的呢?这就是我们今天要分析的问题了。

单点登录(SSO)原理

首先我们需要一个认证中心(Service),和两个子系统(Client)。

当浏览器第一次访问Client1时,处于未登录状态 -> 302到认证中心(Service) -> 在Service的登录页面登录(写入Cookie记录登录信息) -> 302到Client1(写入Cookie记录登录信息)第二次访问Client1 -> 读取Client1中Cookie登录信息 -> Client1为登录状态

第一次访问Client2 -> 读取Client2中Cookie中的登录信息 -> Client2为未登录状态 -> 302到在Service(读取Service中的Cookie为登录状态) -> 302到Client2(写入Cookie记录登录信息)

我们发现在访问Client2的时候,中间时间经过了几次302重定向,并没有输入用户名密码去登录。用户完全感觉不到,直接就是登录状态了。

图解:

手撸一个SSO

环境:.NET Framework 4.5.2

Service:

/// <summary>
/// 登录
/// </summary>
/// <param name="name"></param>
/// <param name="passWord"></param>
/// <param name="backUrl"></param>
/// <returns></returns>
[HttpPost]
public string Login(string name, string passWord, string backUrl)
{
 if (true)//TODO:验证用户名密码登录
 {
  //用Session标识会话是登录状态
  Session["user"] = "XX已经登录";
  //在认证中心 保存客户端Client的登录认证码
  TokenIds.Add(Session.SessionID, Guid.NewGuid());
 }
 else//验证失败重新登录
 {
  return "/Home/Login";
 }
 return backUrl + "?tokenId=" + TokenIds[Session.SessionID];//生成一个tokenId 发放到客户端
}

Client:

public static List<string> Tokens = new List<string>();
public async Task<ActionResult> Index()
{
 var tokenId = Request.QueryString["tokenId"];
 //如果tokenId不为空,则是由Service302过来的。
 if (tokenId != null)
 {
  using (HttpClient http = new HttpClient())
  {
   //验证Tokend是否有效
   var isValid = await http.GetStringAsync("http://localhost:8018/Home/TokenIdIsValid?tokenId=" + tokenId);
   if (bool.Parse(isValid.ToString()))
   {
    if (!Tokens.Contains(tokenId))
    {
     //记录登录过的Client (主要是为了可以统一登出)
     Tokens.Add(tokenId);
    }
    Session["token"] = tokenId;
   }
  }
 }
 //判断是否是登录状态
 if (Session["token"] == null || !Tokens.Contains(Session["token"].ToString()))
 {
  return Redirect("http://localhost:8018/Home/Verification?backUrl=http://localhost:26756/Home");
 }
 else
 {
  if (Session["token"] != null)
   Session["token"] = null;
 }
 return View();
}

效果图:

当然,这只是用较少的代码撸了一个较简单的SSO。仅用来理解,勿用于实际应用。

IdentityServer4实现SSO

环境:.NET Core 2.0

上面我们手撸了一个SSO,接下来我们看看.NET里的IdentityServer4怎么来使用SSO。

首先建一个IdentityServer4_SSO_Service(MVC项目),再建两个IdentityServer4_SSO_Client(MVC项目)
在Service项目中用nuget导入IdentityServer4 2.0.2IdentityServer4.AspNetIdentity 2.0.0IdentityServer4.EntityFramework 2.0.0
在Client项目中用nuget导入IdentityModel 2.14.0

然后分别设置Service和Client项目启动端口为 5001(Service)、5002(Client1)、5003(Client2)


在Service中新建一个类Config:

public class Config
{
 public static IEnumerable<IdentityResource> GetIdentityResources()
  {
   return new List<IdentityResource>
   {
    new IdentityResources.OpenId(),
    new IdentityResources.Profile(),
   };
  }
 public static IEnumerable<ApiResource> GetApiResources()
 {
  return new List<ApiResource>
  {
   new ApiResource("api1", "My API")
  };
 }
 // 可以访问的客户端
 public static IEnumerable<Client> GetClients()
  {
   return new List<Client>
   {
    // OpenID Connect hybrid flow and client credentials client (MVC)
    //Client1
    new Client
    {
     ClientId = "mvc1",
     ClientName = "MVC Client1",
     AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
     RequireConsent = true,
     ClientSecrets =
     {
      new Secret("secret".Sha256())
     },
     RedirectUris = { "http://localhost:5002/signin-oidc" }, //注意端口5002 是我们修改的Client的端口
     PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
     AllowedScopes =
     {
      IdentityServerConstants.StandardScopes.OpenId,
      IdentityServerConstants.StandardScopes.Profile,
      "api1"
     },
     AllowOfflineAccess = true
    },
     //Client2
    new Client
    {
     ClientId = "mvc2",
     ClientName = "MVC Client2",
     AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
     RequireConsent = true,
     ClientSecrets =
     {
      new Secret("secret".Sha256())
     },
     RedirectUris = { "http://localhost:5003/signin-oidc" },
     PostLogoutRedirectUris = { "http://localhost:5003/signout-callback-oidc" },
     AllowedScopes =
     {
      IdentityServerConstants.StandardScopes.OpenId,
      IdentityServerConstants.StandardScopes.Profile,
      "api1"
     },
     AllowOfflineAccess = true
    }
   };
  }
}

新增一个ApplicationDbContext类继承于IdentityDbContext:

public class ApplicationDbContext : IdentityDbContext<IdentityUser>
{
 public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options)
  : base(options)
 {
 }
 protected override void OnModelCreating(ModelBuilder builder)
 {
  base.OnModelCreating(builder);
 }
}

在文件appsettings.json中配置数据库连接字符串:

"ConnectionStrings": {
 "DefaultConnection": "Server=(local);Database=IdentityServer4_Demo;Trusted_Connection=True;MultipleActiveResultSets=true"
 }

在文件Startup.cs的ConfigureServices方法中增加:

public void ConfigureServices(IServiceCollection services)
{
 services.AddDbContext<ApplicationDbContext>(options =>
  options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"))); //数据库连接字符串
 services.AddIdentity<IdentityUser, IdentityRole>()
  .AddEntityFrameworkStores<ApplicationDbContext>()
  .AddDefaultTokenProviders();
 services.AddMvc();
 string connectionString = Configuration.GetConnectionString("DefaultConnection");
 var migrationsAssembly = typeof(Startup).GetTypeInfo().Assembly.GetName().Name;
 services.AddIdentityServer()
  .AddDeveloperSigningCredential()
  .AddAspNetIdentity<IdentityUser>()
  .AddConfigurationStore(options =>
  {
   options.ConfigureDbContext = builder =>
    builder.UseSqlServer(connectionString,
     sql => sql.MigrationsAssembly(migrationsAssembly));
  })
  .AddOperationalStore(options =>
  {
   options.ConfigureDbContext = builder =>
    builder.UseSqlServer(connectionString,
     sql => sql.MigrationsAssembly(migrationsAssembly));
   options.EnableTokenCleanup = true;
   options.TokenCleanupInterval = 30;
  });
}

并在Startup.cs文件里新增一个方法InitializeDatabase(初始化数据库):

/// <summary>
/// 初始数据库
/// </summary>
/// <param name="app"></param>
private void InitializeDatabase(IApplicationBuilder app)
{
 using (var serviceScope = app.ApplicationServices.GetService<IServiceScopeFactory>().CreateScope())
 {
  serviceScope.ServiceProvider.GetRequiredService<ApplicationDbContext>().Database.Migrate();//执行数据库迁移
  serviceScope.ServiceProvider.GetRequiredService<PersistedGrantDbContext>().Database.Migrate();
  var context = serviceScope.ServiceProvider.GetRequiredService<ConfigurationDbContext>();
  context.Database.Migrate();
  if (!context.Clients.Any())
  {
   foreach (var client in Config.GetClients())//循环添加 我们直接添加的 5002、5003 客户端
   {
    context.Clients.Add(client.ToEntity());
   }
   context.SaveChanges();
  }
  if (!context.IdentityResources.Any())
    {
     foreach (var resource in Config.GetIdentityResources())
     {
      context.IdentityResources.Add(resource.ToEntity());
     }
     context.SaveChanges();
    }
  if (!context.ApiResources.Any())
    {
     foreach (var resource in Config.GetApiResources())
     {
      context.ApiResources.Add(resource.ToEntity());
     }
     context.SaveChanges();
    }
 }
}

修改Configure方法:

 public void Configure(IApplicationBuilder app, IHostingEnvironment env)
 {
  //初始化数据
  InitializeDatabase(app);
  if (env.IsDevelopment())
  {
   app.UseDeveloperExceptionPage();
   app.UseBrowserLink();
   app.UseDatabaseErrorPage();
  }
  else
  {
   app.UseExceptionHandler("/Home/Error");
  }
  app.UseStaticFiles();
  app.UseIdentityServer();
  app.UseMvc(routes =>
  {
   routes.MapRoute(
    name: "default",
    template: "{controller=Home}/{action=Index}/{id?}");
  });
 }

然后新建一个AccountController控制器,分别实现注册、登录、登出等。

新建一个ConsentController控制器用于Client回调。

然后在Client的Startup.cs类里修改ConfigureServices方法:

public void ConfigureServices(IServiceCollection services)
{
 services.AddMvc();
 JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
 services.AddAuthentication(options =>
 {
  options.DefaultScheme = "Cookies";
  options.DefaultChallengeScheme = "oidc";
 }).AddCookie("Cookies").AddOpenIdConnect("oidc", options =>
 {
  options.SignInScheme = "Cookies";
  options.Authority = "http://localhost:5001";
  options.RequireHttpsMetadata = false;
  options.ClientId = "mvc2";
  options.ClientSecret = "secret";
  options.ResponseType = "code id_token";
  options.SaveTokens = true;
  options.GetClaimsFromUserInfoEndpoint = true;
  options.Scope.Add("api1");
  options.Scope.Add("offline_access");
 });
}

对于Client的身份认证就简单了:

[Authorize]//身份认证
public IActionResult Index()
{
 return View();
}

/// <summary>
/// 登出
/// </summary>
/// <returns></returns>
public async Task<IActionResult> Logout()
{
 await HttpContext.SignOutAsync("Cookies");
 await HttpContext.SignOutAsync("oidc");
 return View("Index");
}

效果图:

源码地址(demo可配置数据库连接后直接运行)

https://github.com/zhaopeiym/BlogDemoCode/tree/master/sso(%E5%8D%95%E7%82%B9%E7%99%BB%E5%BD%95)

总结

以上所述是小编给大家介绍的C#中单点登录的原理和使用,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!

时间: 2017-10-27

C#可用于登录验证码的四位随机数生成方法

本文实例讲述了C#可用于登录验证码的四位随机数生成方法.分享给大家供大家参考.具体实现方法如下: 这里提供了两种方法,调用其一即可: 复制代码 代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; namespace SJ_random {     class Class_main     {        

C#.NET实现网页自动登录的方法

本文实例讲述了C#.NET实现网页自动登录的方法.分享给大家供大家参考.具体如下: 用C#语言编写一个Windows Form应用程序,实现自动登录一个特定的页面. 下面以自动登录:http://localhost/Web/Login.aspx 作为例子,讲解如何模拟手工输入用户名密码并点击登录,实现自动登录. 新建一个C#应用程序,给应用程序起个名字,如AutoLogin,在窗体中添加一个TextBox.Button,及WebBrowser控件,并为WebBrowser控件添加webBrows

C#有效防止同一账号多次登录(附三种方法)

本文先为大家介绍如何利用缓存Cache方便地实现此功能. Cache与Session这二个状态对像的其中有一个不同之处,Cache是一个全局对象,作用的范围是整个应用程序,所有用户: 而Session是一个用户会话对象,是局部对象,用于保存单个用户的信息. 只要把每次用户登录后的用户信息存储在Cache中,把Cache的Key名设为用户的登录名,Cache的过期时间设置为Session的超时时间,在用户每次登录的时候去判断一下Cache[用户名]是否有值,如果没有值,证明该用户没有登录,否则该用

C#实现简单的登录界面

首先我们来看一个简单的制作过程 打开visual 2010,新建窗体,既然是登录窗口,那么就不让它出现最大化.最小化以及拖拉大小功能(上一节已经提到过怎么设置大小),如图所示,甚至窗体的Text属性值为"登录窗口",大小随意. 创建窗体之后就开始界面详细的组件布局了,主要是在左边拖拉控件,然后放到窗体中去,定义属性值.这些都比较简单. 到了代码响应阶段,双击登录按钮,进入代码视图: private void button1_Click(object sender, EventArgs

C# Winform中实现主窗口打开登录窗口关闭的方法

在使用C#进行Winform编程时,我们经常需要使用一个登录框来进行登录,一旦输入的用户名密码登录成功,这时登录窗口应该关闭,而且同时打开主程序窗口.该如何来实现呢? 乍一想,很简单啊,打开主窗口就用主窗口的Show()方法,而关闭登录窗口就用登录窗口的Close()方法即可.即代码如下: Program.cs中代码: 复制代码 代码如下: Application.Run(new FormLogin()); 登录窗口(FormLogin)代码: 复制代码 代码如下: private void b

C#实现登录窗口(不用隐藏)

(1).在程序入口处,打开登录窗口 复制代码 代码如下: static void Main() { Application.EnableVisualStyles(); Application.SetCompatibleTextRenderingDefault(false); Form form = new login(); form.Show(); Application.Run(); }   复制代码 代码如下: private void button1_Click(object sender

C#中登录窗体和欢迎窗体关闭方法分析

本文实例分析了C#中登录窗体和欢迎窗体关闭方法.分享给大家供大家参考.具体分析如下: 在c#的winform编程中,我们经常会做登录窗体或欢迎窗体,并把他们作为启动窗体.   但是,我们有可能会遇到一些问题.   请看下面的代码: 复制代码 代码如下: private void button1_Click(object sender, EventArgs e) {     this.Close();     new Form2().Show(); } 这段代码想让form1中的button1在点

C#实现的三种模拟自动登录和提交POST信息的方法

本文实例讲述了C#实现的三种模拟自动登录和提交POST信息的方法.分享给大家供大家参考,具体如下: 网页自动登录(提交Post内容)的用途很多,如验证身份.程序升级.网络投票等,以下是用C#实现的方法. 网页自动登录和提交POST信息的核心就是分析网页的源代码(HTML),在C#中,可以用来提取网页HTML的组件比较多,常用的用WebBrowser.WebClient.HttpWebRequest这三个.以下就分别用这三种方法来实现: 1.WebBrowser是个"迷你"浏览器,其特点

python实现自动登录人人网并采集信息的方法

本文实例讲述了python实现自动登录人人网并采集信息的方法.分享给大家供大家参考.具体实现方法如下: #!/usr/bin/python # -*- coding: utf-8 -*- import sys import re import urllib2 import urllib import cookielib class Renren(object): def __init__(self): self.name = self.pwd = self.content = self.doma

C#使用WebClient登录网站并抓取登录后的网页信息实现方法

本文实例讲述了C#使用WebClient登录网站并抓取登录后的网页信息实现方法.分享给大家供大家参考,具体如下: C#登录网站实际上就是模拟浏览器提交表单,然后记录浏览器响应返回的会话Cookie值,再次发送请求时带着这个会话cookie值去请求就可以实现模拟登录的效果了. 如下类CookieAwareWebClient实现在发送请求时都带着cookie. public class CookieAwareWebClient : WebClient { private CookieContaine

PHP版微信第三方实现一键登录及获取用户信息的方法

本文实例讲述了PHP版微信第三方实现一键登录及获取用户信息的方法.分享给大家供大家参考,具体如下: 注意,要使用微信在第三方网页登录是需要"服务号"才可以哦,所以必须到官方申请. 一开始你需要进入微信公众平台开启开发模式,并且填写oauth2的回调地址,地址填写你项目的域名就可以了.比如:www.baidu.com或zhidao.baidu.com.如果你的项目在二级域名就写二级域名 前端url授权地址,在url中填写appid与你项目中方法中的oauth的地址,具体在下面的代码中可以

浅析2003两种快速自动登录捷径

如何快速的进入Windows 2003操作系统呢?在本文中我们将介绍两种快速登录Windows 2003操作系统的方法: 一种方法比较简单,您只需单击"开始|运行",并在输入框中键入"control userpasswords2",这样就可以在"用户账户"管理窗口中清除"要使用本机,用户必须输入密码"复选项的选中状态,然后按下键盘的"Ctrl+Shift+A",将会得到一个"自动登录"的

YII2自动登录Cookie总是失效的解决方法

前言 最近做Yii2自动登录功能,发现即使开启了Yii2的自动登录配置功能,浏览器关闭后,再次打开浏览器还是处于非登录状态. 网上查询资料基本没有相同情况. 查询登录源码: protected function sendIdentityCookie($identity, $duration) { $cookie = new Cookie($this->identityCookie); $cookie->value = json_encode([ $identity->getId(), $

Java模拟新浪和腾讯自动登录并发送微博

Java模拟新浪和腾讯自动登录并发送微博功能分享给大家,供大家参考,具体内容如下 1.准备工作 只是登录无需申请新浪和腾迅的开发者账号,如果需要发送微博功能,需要申请一个新浪和腾迅的开发者账号,并添加一个测试应用. 过程请参考官方帮助文档,申请地址:新浪:http://open.weibo.com    腾迅:http://dev.t.qq.com/ 我们需要的是App Key和App Secre及redirect_URI,源代码中已经包含了我申请的测试key,但由于限制直接用我的key你们的账

Yii2框架实现登录、退出及自动登录功能的方法详解

本文实例讲述了Yii2框架实现登录.退出及自动登录功能的方法.分享给大家供大家参考,具体如下: 自动登录的原理很简单.主要就是利用cookie来实现的 在第一次登录的时候,如果登录成功并且选中了下次自动登录,那么就会把用户的认证信息保存到cookie中,cookie的有效期为1年或者几个月. 在下次登录的时候先判断cookie中是否存储了用户的信息,如果有则用cookie中存储的用户信息来登录, 配置User组件 首先在配置文件的components中设置user组件 'user' => [ '

详谈表单重复提交的三种情况及解决方法

第一种情况:提交完表单以后,不做其他操作,直接刷新页面,表单会提交多次. - 在servlet中写一句输出,用来判断是否提交多次 System.out.println("已经插入"); request.getRequestDispatcher("/login_success.jsp").forward(request, response); - 这样的话,刷新多少次,就会在控制器显示多少个"已经插入". - 根本原因:Servlet处理完请求以后

Python判断文件或文件夹是否存在的三种方法

常在读写文件之前,需要判断文件或目录是否存在,不然某些处理方法可能会使程序出错.所以最好在做任何操作之前,先判断文件是否存在. 这里将介绍三种判断文件或文件夹是否存在的方法,分别使用os模块.Try语句.pathlib模块. 1.使用os模块 os模块中的os.path.exists()方法用于检验文件是否存在. 判断文件是否存在 import os os.path.exists(test_file.txt) #True os.path.exists(no_exist_file.txt) #Fa