跨域原理图
cookie与session
cookie属于(域 + 路径),不区分用户,而session针对用用户会话。
例如,用户A登录http://www.a.com/demo1,设置cookie[a] = 123,session[b] = 456,当用户A在该浏览器上退出,用户B在该浏览器上登录http://www.a.com,此时用户B可以查看cookie[a] = 123, 而session[b]是没有数据的。因为cookie[a]属于域www.a.com(当设置路径为根路径时)
假设有两个跨域应用:
http://www.a.com
http://www.b.com
单点登录系统:
http://www.x.com
- 用户访问http://www.a.com, ServerA从cookie(www.a.com域下根路径)中查询token,如果不存在,执行逻辑2,否则执行逻辑3;
- 返回http://www.a.com的登录界面给浏览器,用户输入username+password向ServerA发起登录请求,执行逻辑5;
- ServerA访问ServerSSO的验证接口,ServerSSO验证token是否在记录列表中,返回验证验证结果。ServerA判断验证结果,如果token有效,执行逻辑4,否则执行逻辑2;
- 返回http://www.a.com的主页给浏览器(附带token),主页中通过iframe的形式,分别访问ServerA与ServerB的addCookie接口(附带token),ServerA将token设置到cookie(www.a.com域下根路径)中,浏览器与ServerB通讯,ServerB将token设置到cookie(www.b.com域下根路径)中,当访问http://www.b.com时,执行逻辑3(针对ServerB)
- ServerA访问ServerSSO的登录接口,ServerSSO验证username+password是否有效,若有效则生成并记录token,将token返回给ServerA,否则返回认证失败信息。ServerA判断认证结果,如果认证成功,执行逻辑4,否则执行逻辑逻辑2
iframe设置token
index.html中通过iframe的方式,分别访问http://www.a.com/addCookie和http://www.b.com/addCookie,将token设置到服务器A和B的cookie中
对于ServerB,因为浏览器中index.html通过iframe的方式访问了ServerB,对于ServerB就添加了token的cookie
当在浏览器中键入http://www.b.com时,ServerB的cookie(www.b.com域下的)中存在token,且该token在ServerSSO中验证合法,从而可以访问到ServerB的index.jsp,不需要再去登录(不会跳转到ServerB的登录页面)。
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@page isELIgnored="false"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<html>
<head>
<title>Title</title>
</head>
<body>
demo1.jsp
${cookie.token.value}
<c:forEach var="url" items="${hiddenUrl}">
<iframe src="${url}?token=${token}" width="0px" height="0px" style="display: none"></iframe>
</c:forEach>
</body>
</html>
架构特点
- ServerA与ServerB有各自的前端登录页面,但是后端认证都是请求ServerSSO
- ServerSSO中token只能自己管理,不能放到cookie中存储,因为ServerA与ServerB都是通过http请求访问ServerSSO,不会携带之前的cookie
- ServerA与ServerB中token是在cookie中管理,直接跟浏览器打交道(浏览器每次请求都会携带对应域名下的cookie)
网友评论