在 .net 应用程序中实现单点登录的最佳解决方案是什么?我用谷歌搜索并找到了很少的解决方案,但我对这些解决方案不太相信。
用户登录 website1,然后移动到 website2。website2如何知道用户已经登录?我想通过在 url 中传递一些令牌,website2 将在数据库中检查其有效性。这意味着我需要将 website1 中的所有 url 编组到 website2?
其次,如果用户继续浏览 website2 1 小时,然后移动到 website1。到那时 website1 会话已经超时,所以用户会看到一个登录页面,不是吗?但是根据单点登录功能,这种行为是错误的。
我认为您误解了单点登录的工作原理。
让我们考虑想要使用单点登录的 website1 和 website2。
在 identityProvider 处创建一个登录网站。这是唯一出现登录屏幕的地方。
当用户访问 website1 并选择登录 website1 时,会将用户发送到 identityProvider 的登录屏幕。用户登录到 identityProvider ,它会为其域删除自己的登录 cookie(并且可能允许用户保存他们的身份验证信息,这样他们就不会再收到提示了)。然后它将浏览器重定向回 website1,包括请求中的令牌,website1 会打开该令牌,从中获取身份信息并执行它自己的登录位(丢弃它自己的身份验证 cookie,它可以持续使用它想要的任何时间)。
然后用户访问website2并选择登录。Website2 将用户退回到 identityProvider,后者已经知道用户是谁,如果他们的用户选择保存他们的登录信息,则会静默进行身份验证,然后使用另一个令牌重定向回 website2,website2 会打开该令牌,然后执行自己的登录位。
它周围有很多安全措施,将令牌限制在特定网站上,只允许将令牌发送到白名单网站等。
所以为了解决你的担忧
Microsoft 的官方方法是通过 Active Directory 联合服务(将 SAML 与 AD 身份验证包装在一起)。这具有您正在寻找的特性——但对于公共 Web 应用程序来说可能太重了。
我假设您不想将 Windows 身份验证与 Active Directory 等一起使用。一种方法是使用查询字符串上的安全令牌从一个经过身份验证的会话移交给另一个,正如您所描述的。
两个应用程序都使用相同的公共加密密钥来编码/解码安全令牌。正如您所说,如果您在站点之间具有有限的预定义转换链接,则此方法可以正常工作,但是如果您希望能够在应用程序之间使用任何页面链接,则需要动态生成这些 url,以便它们包含令牌。
您处理超时的方式是安全令牌还包含到期时间。每个页面请求或在应用程序之间创建新链接时,您都会生成一个新的安全令牌。
通常,安全令牌包含用户 ID 和超时,如果超时已过期,登录检查器要么返回用户 ID,要么返回 null。
这不是正确安全地编码的快速解决方案。也许你可以在 Code Project 上找到一个预建的?
几年前,MS 在企业内部做了一篇关于它的论文——我们设置了样本,但从未真正实施过——单点登录
使用 OAuth 和社交提供商查看此链接,它提供了多种身份验证功能,这些功能已经融入 .Net Microsoft OAuth 培训视频和社交提供商的单点登录