深刻淺出讓你理解跨域與SSO單點登陸原理與技術

一：SSO體系結構

SSO

​ SSO英文全稱Single Sign On，單點登陸。SSO是在多個應用系統中，用戶只須要登陸一次就能夠訪問全部相互信任的應用系統。它包括能夠將此次主要的登陸映射到其餘應用中用於同一個用戶的登陸的機制。它是目前比較流行的企業業務整合的解決方案之一。

體系結構

​ 當用戶第一次訪問應用系統1的時候，由於尚未登陸，會被引導到認證系統中進行登陸；根據用戶提供的登陸信息，認證系統進行身份校驗，若是經過校驗，應該返回給用戶一個認證的憑據－－token；用戶再訪問別的應用的時候就會將這個token帶上，做爲本身認證的憑據，應用系統接受到請求以後會把token送到認證系統進行校驗，檢查token的合法性。若是經過校驗，用戶就能夠在不用再次登陸的狀況下訪問應用系統2和應用系統3了 。

Token（令牌）

token的意思是「令牌」，是服務端生成的一串字符串，做爲客戶端進行請求的一個標識。

當用戶第一次登陸後，服務器生成一個token並將此token返回給客戶端，客戶端收到token後把它存儲起來，能夠放在cookie或者Local Storage（本地存儲）裏。 之後客戶端只需帶上這個token前來請求數據便可，無需再次帶上用戶名和密碼。

簡單token的組成；uid(用戶惟一的身份標識)、time(當前時間的時間戳)、sign（簽名，token的前幾位以哈希算法壓縮成的必定長度的十六進制字符串。爲防止token泄露）。

設計token的值能夠有如下方式

1. 用設備mac地址做爲token
2. 用sessionid做爲token

同域SSO原理分析

實際上，HTTP協議是無狀態的，單個系統的會話由服務端Session進行維持，Session保持會話的原理是經過Cookie把sessionId寫入瀏覽器，每次訪問都會自動攜帶所有Cookie，在服務端讀取其中的sessionId進行驗證明現會話保持。同域下單點登陸其實就是手寫token代替sessionId進行會話認證。

token的生成

服務端生成token後，將token與user對象存儲在Map結構中，token爲Key，user對象爲value，response.addCookie()生成新的Cookie，名爲token，值爲token的值。

token過時移除

將服務端的token從Map中移除，再刪除瀏覽器端的名爲token的Cookie。

認證流程

跨域SSO原理分析

當有多個系統時，認證機制的流程以下：

1. 提供用戶登陸界面，供用戶進行身份認證
2. 用戶驗證經過後，生成新token
3. 將token<->user 對存入全局MAP中供校驗
4. 將token寫入全部域的Cookie中
5. 頁面重定向回原始請求URL

分析

當系統有多個而且在不一樣域(domain)時，Cookie只會做用在當前域下。

將token寫入全部域的Cookie中才是解決跨域SSO的核心。

二：Cookie增刪改查

如何讀取Cookie？

經過Servlet中的request對象能夠讀取到Cookie數組，而後foreach遍歷讀取，通常只是獲取到nam和value，其餘信息寫入到瀏覽器後，瀏覽器不主動再發回來，讀取並沒有意義。

Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                System.out.println(
                        cookie.getName() +
                        cookie.getValue() +
                        cookie.getMaxAge() +
                        cookie.getPath() +
                        cookie.getDomain() +
                        cookie.getSecure() +
                        cookie.isHttpOnly()//客戶端js是否能夠獲取
                );
            }
        }
複製代碼

如何寫入Cookie帶瀏覽器？

新建Cookie對象設置一系列屬性，而後添加到response中去。須要注意的是，當設置path爲「/」時，表示全部路徑都會被該Cookie做用到，若是設置爲/path1那麼由/path2發起請求就不會攜帶該Cookie。默認不設置只做用在當前路徑下。

Cookie cookie = new Cookie("myCookieName","myCookieValue");
        cookie.setHttpOnly(false);//Javascript不能處理
        //一個正值表示cookie將在通過許多秒以後過時。注意，值是cookie過時的最大時間，而不是cookie當前的時間。
        //負值表示cookie沒有持久存儲，在Web瀏覽器退出時將被刪除。零值會致使刪除cookie。
        cookie.setMaxAge(-1000);
        cookie.setSecure(false);//若是爲true，僅支持HTTPS協議
        //cookie對指定目錄中的全部頁面以及該目錄子目錄中的全部頁面均可見。
        cookie.setPath("/");
        //cookie.setDomain("www.a.com");//默認狀況下，cookie只返回給發送cookie的服務器。
        response.addCookie(cookie);
複製代碼

修改Cookie

修改更新Cookie時，除了要保證Cookie的name是相同的，也要保證Cookie的一系列屬性是相同的，不然瀏覽器會生成新的Cookie。

刪除Cookie

只須要設置Cookie的MaxAge爲負值，意味着是過去的Cookie，瀏覽器就會清除。

三：跨域讀寫Cookie

1.利用HTML的script標籤跨域寫Cookie

好比當前域是www.a.com,下面的script標籤是跨域寫cookie的核心，經過此標籤實現了向www.b.com域寫入cookie：

<script type="text/javascript" src="http://www.b.com/setCookie?cname=token&cval=123456"></script>
複製代碼

P3P協議

​ P3P是一種被稱爲我的隱私安全平臺項目（the Platform for Privacy Preferences）的標準，可以保護在線隱私權，使Internet衝浪者能夠選擇在瀏覽網頁時，是否被第三方收集並利用本身的我的信息。若是一個站點不遵照P3P標準的話，那麼有關它的Cookies將被自動拒絕，而且P3P還可以自動識破多種Cookies的嵌入方式。p3p是由全球資訊聯盟網所開發的。

舉個例子：

​ 咱們在訪問A網站時，理論上說，咱們只能把Cookie信息保存到A站域名下，而不能寫入到B網站下。若是想要跨域讀寫Cookie，只是經過script標籤變相訪問B網站在一些瀏覽器是行不通的，此時B網站的服務器應該告訴瀏覽器容許A網站寫入Cookie，不然瀏覽器將會拒絕執行，這就是P3P協議。

服務端如何告訴瀏覽器？

​ P3P提供了一種簡單的方式 ，來加載用戶隱私策略，只要在http響應的頭信息中增長 response.setHeader("P3P","CP=NON DSP COR CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa CONa HISa TELa OTPa OUR UNRa IND UNI COM NAV INT DEM CNT PRE LOC);而無需指定隱私策略文件也能夠達到指定隱私策略的目的。 CP=後面的字符串分別表明不一樣的策略信息。

總結

由於P3P協議因此不能保證全部瀏覽器都能經過script標籤方式跨域寫Cookie，有的瀏覽器自己就是拒絕跨域的。

顯然這種方式是不能保證跨域寫cookie的成功性。

2.經過URL參數實現跨域信息傳遞

咱們要在A域實現寫入token到B域，須要在A域設計一個servlet接收請求，代碼：

@WebServlet(name = "tg")
public class Servlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException {
        //獲取請求的目標域
        String from = request.getParameter("from");
        //生成token，
        String token = "123456";
        //重定向到目標域
        response.sendRedirect(from + "?cname=token&cval=" + token);
    }
    ...
 }
複製代碼

由a域發起請求，請求地址：http://www.a.com/tg?from=http://www.b.com/set_cookie, 請求後該Servlet會獲取from參數的值並生成token最後讓客戶端重定向到http://www.b.com/set_cookie?cname=token&cval=123456，而後B域的Servlet("set_cookie")獲取Url參數寫入Cookie到客戶端，代碼：

//將要寫入的cookie項，調用者經過參數傳遞
        String cookieName = request.getParameter("cname");
        String cookieValue = request.getParameter("cval");

        //生成cookie
        Cookie cookie = new Cookie(cookieName,cookieValue);
        cookie.setPath("/");
        //通常能夠將domain設置到頂級域
        //cookie.setDomain("www.b.com");
        response.addCookie(cookie);
複製代碼

這時候再查看B域下的Cookie就能夠發現(token=123456)已經被寫入到瀏覽器。

3.讀取其它域的Cookie

利用script標籤

利用script標籤執行另外一個域實現的讀取cookie方法，script標籤返回結果將是變量定義形式的JS代碼，每個變量表示一個cookie項，這些代碼加載後，此頁面後續JS代碼能夠直接在script腳本中讀取已定義的變量值，即各cookie值。

<script type="text/javascript" src="http://www.b.com/reaf_cookies"></script>
複製代碼

HTML頁面讀取

<script>
alert(token);
</script>
複製代碼

B域的url爲/read_cookies的Servlet是如何實現的？

如圖，首先咱們先在request中獲取cookie數組，而後for循環遍歷拼接爲相似var token='test123';的字符串。最重要的是設置ContentType爲application/javascript，代碼以下：

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        Cookie[] cookies = request.getCookies();
        StringBuilder stringBuilder = new StringBuilder();
        //必定要設置響應類型，不然可能致使IE不解析js直接進行下載操做
        response.setContentType("application/javascript");

        if (cookies != null) {
            for (Cookie cookie : cookies) {
                //結果相似於這樣 var token='123456';
                stringBuilder.append("var ")
                        .append(cookie.getName())
                        .append("=")
                        .append("'")
                        .append(cookie.getValue())
                        .append("'")
                        .append(";");
            }
            response.getWriter().append(stringBuilder.toString());
        }
     }
複製代碼

四：跨域Ajax請求

1.Jsonp的方式

跨域Ajax請求在瀏覽器階段就會被阻止，咱們能夠經過script標籤返回想要的json數據。如圖：

<script type="text/javascript" src="http://www.b.com/user_info_2"></script>
複製代碼

後臺Servlet代碼

//要正確設置響應類型,避免IE出現下載
        response.setContentType("application/javascript");

        String userInfo = "{\"id\":1,\"name\":\"zhangsan\"}";

        //返回拼接的javascript語句字符串，語句自己執行一個調用函數的操做
        String ret = "showResult("+userInfo+")";
複製代碼

在Servlet中設置返回類型爲javascript，並正常獲取json格式的數據，最關鍵的是在最後拼接爲js語句字符串，語句自己就是執行一個調用函數的操做：

showResult({"id":1,"name":"zhangsan"})
複製代碼

而showResult(ret)回調函數天然須要咱們在以前就定義好：

<script>
        function showResult(ret){
            console.log(ret)
        }
    </script>
複製代碼

優化

這種方式，前端的回調函數和後端耦合度較高。前端能夠在調用後端方法時帶上回調函數名（?callback=xxxxx），後端優化後的代碼：

//經過參數傳遞迴調函數名，必定程度下降了先後端代碼的耦合度
        String callback = request.getParameter("callback");

        //返回拼接的javascript語句字符串，語句自己執行一個調用函數的操做
        String ret = callback+"("+userInfo+")";
複製代碼

再優化

HTML頁面加載到咱們定義的script標籤時就會執行咱們的回調方法，更多時候咱們想要控制回調方法的執行時機。這個問題能夠經過前端動態生成節點來解決，當咱們執行完以後再移除節點便可：

<script>
        var script = document.createElement("script");
        script.src = "http://www.b.com/user_info_2?callback=showResult";
        document.body.appendChild(script);

        script.onload = function () {
            document.body.removeChild(script);
        }
    </script>
複製代碼

JQuery

咱們能夠把這些封裝到一個方法裏，隨時調用。這裏可使用Jquery封裝好的API。

$.ajax({
                    url: "http://localhost:9090/query",
                    type: "GET",
                    dataType: "jsonp",  //指定服務器返回的數據類型
                    jsonpCallback: "showData",  //指定回調函數名稱
                    success: function (data) {
                        console.info("調用success");
                    }
                });
                function showData(data){
                    var result = JSON.stringify(data);
                }
複製代碼

2.CORS簡介

出於安全緣由，瀏覽器限制從腳本內發起的跨源HTTP請求。 例如，XMLHttpRequest和Fetch API遵循同源策略。 這意味着使用這些API的Web應用程序只能從加載應用程序的同一個域請求HTTP資源，除非使用CORS頭文件。

跨域資源共享（ CORS）機制容許 Web 應用服務器進行跨域訪問控制，從而使跨域數據傳輸得以安全進行。瀏覽器支持在 API 容器中（例如 XMLHttpRequest或 Fetch）使用 CORS，以下降跨域 HTTP 請求所帶來的風險。

GET跨域請求原理

當客戶端瀏覽器發起一個跨域的HTTP請求，瀏覽器通過請求響應，若是沒有看到Access-Control-Allow-Origin的header頭部，會認爲你的請求是不合法的。換句話說，咱們只要在被請求的服務器上設置這個頭部，瀏覽器就會容許咱們進行請求。

解決方法

對於簡單的請求，咱們直接在服務端 設置就能夠了。如圖，只要請求的地址是www.a.com就會被瀏覽器容許跨域。若是想要容許對於多個來源能夠用,號進行隔開；若是想要容許全部來源，設置爲*就能夠，不過建議不要使用，這樣會形成安全隱患。

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //簡單請求，直接設置Access-Control-Allow-Origin就能夠了
        response.setHeader("Access-Control-Allow-Origin","*");
        //要正確設置響應類型,避免IE出現下載
        response.setContentType("application/json");

        response.getWriter().write("{\"id\":1,\"name\":\"zhangsan\"}");
    }
複製代碼

對於複雜的請求，好比POST，或者加入了自定義header頭部，上面的方法就不適用了。下面繼續看。

CORS流程

請求發起時,瀏覽器先判斷當前是不是跨域的AJAX;

若是是,判斷是不是普通類型請求(GET類型,無自定義頭數據);

普通請求,直接發起GET到服務端,在響應頭中尋找 Access-Contro-Alow- Origin,若是有且容許,處理響應結果;

不是普通請求(非GET類型,或有自定義頭), 先 PreFlight(即發起一個 method= OPTIONS)的請求,

要求返回 Access-Control-Allow- Methods和 Access-Control-Allow- Headers, 內容體爲空

PreFlight正確執行後, 再發起GET請求, 得到響應結果, 並處理結果.

實現

歸根到咱們的代碼中的實現，只須要在servlet中定義options請求的處理方法便可。如圖

protected void doOptions(HttpServletRequest req, HttpServletResponse response) {
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Methods","GET,POST,OPTIONS,DELETE");
        response.setHeader("Access-Control-Allow-Headers","reqid,xxx");
    }
複製代碼

注意：Access-Control-Allow-Origin是必需的。

3.兩種跨域AJax請求對比

兼容性

Jsonp對全部瀏覽器兼容，CORS對現代瀏覽器兼容（IE8以後）。

請求方式

Jsonp只支持GET方式，CORS支持GET，POST等。

調用方式

Jsonp須要服務端封裝返回信息，CORS更像原生AJax同樣使用。

共同進步，學習分享

歡迎你們關注個人公衆號【風平浪靜如碼】，海量Java相關文章，學習資料都會在裏面更新，整理的資料也會放在裏面。

以爲寫的還不錯的就點個贊，加個關注唄！點關注，不迷路，持續更新！！！