讨论:关于使用IP地址的SSO系统的实现可能性

最新推荐文章于 2025-06-04 11:48:22 发布
最新推荐文章于 2025-06-04 11:48:22 发布 · 468 阅读 · 0
文章标签:

#SSO #Tomcat #虚拟机

本文探讨了一种利用IP地址作为身份标识的单点登录(SSO)实现方式,并通过本机测试验证了该方法的可行性。

  关于单点登录SSO系统是否可以通过IP地址来实现呢?

  具体思路是:因为不管是internte还是intranet中每个机子的IP应该都具有其唯一性的特点。那么在多个子系统同时使用一个登录点系统时,我们是不是可以将其登录的IP信息放在SSO系统中某一记录文件或数据中,然后子系统中添加过滤器。使用httpclient发送请求来验证登录情况。如果本方案可行的话,由于没有使用cookies,也就不存在所谓的跨域问题。

  我自己做了个测试,情况如下:

  一个SSO系统 www.ipsso.com

  两个测试子系统 www.nodeone.com和www.nodetwo.com

  两个子系统中分别使用了过滤器在需要登录的页面进行过滤,而SSO系统主要是取得子系统发送来的IP地址去服务器的记录文件中查询本IP的登录信息。本系统使用了properties类型文件,那么如果IP地址对应值为空或“logout”的话,表示没有登录,这时就跳转到登录页面进行登录。如果有用户信息时就直接返回用户信息。从而实现了单点登录过程。

   我在本机做了测试,修改了TOMCAT的端口为80,然后添加两个虚拟目录:

 

<Host name="www.ipsso.com" appBase="webapps/IPSSO"
       	unpackWARs="true" autoDeploy="true"
       	xmlValidation="false" xmlNamespaceAware="false">

       <Context path="/" debug="0" reloadable="false"/>
			</Host>
			
			<Host name="www.nodeone.com" appBase="webapps/nodeOne"
       	unpackWARs="true" autoDeploy="true"
       	xmlValidation="false" xmlNamespaceAware="false">

       <Context path="/" debug="0" reloadable="false"/>
			</Host>
			
			<Host name="www.nodeTwo.com" appBase="webapps/nodeTwo"
       	unpackWARs="true" autoDeploy="true"
       	xmlValidation="false" xmlNamespaceAware="false">

       <Context path="/" debug="0" reloadable="false"/>
</Host>

 另外修改了hosts文件添加了域名:

    127.0.0.1 www.ipsso.com
    127.0.0.1 www.nodeone.com
    127.0.0.1 www.nodetwo.com

 

通过上面的配置,我在本机测试实现了单点登录的操作。为了验证。我只采取了最简单的实现,如果本方案可行的话,就可以很方便的添加关于安全方面的验证。

 

   由于小弟水平有限,不确定这个思路有什么缺陷,还望高手指点指点。

 

 

 

SSO单点登录配置
YangJuanCMXC的专栏
08-17 450
[code="java"] 将登录信息配置到header.jsp页面上,在每个jsp文件中都引入该页面,如果要登录, 需要经过一定的配置方可正常显示登录信息。 1. 设置本机hosts文件(把本机地址映射为且对登录公共模块的地址进行映射): 本机IP (对应自己项目的域名) ss...
单点登录 cas 设置回调地址_单点登录(SSO)看这一篇就够了
weixin_39875629的博客
11-21 1507
背景在企业发展初期,企业使用系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。单点登录英文全称Single Sign On,简...
SSO单点登录三种情况的实现方式详解
json_li的博客
06-26 1万+
单点登录(SSO——Single Sign On)对于我们来说已经不陌生了。对于大型系统来说使用单点登录可以减少用户很多的麻烦。就拿百度来说吧,百度下面有很多的子系统——百度经验、百度知道、百度文库等等,如果我们使用这些系统的时候,每一个系统都需要我们输入用户名和密码登录一次的话,我相信用户体验肯定会直线下降。当然,对于个人博客这类系统来说根本就用不上单点登录了。 假如,我们的系统很庞大,但是就
【CAS集群配置】:构建高可靠性SSO环境的专家指南
[【CAS集群配置】:构建高可靠性SSO环境的专家指南](https://www.statcan.gc.ca/sites/default/files/ds-figure-7-alerting-system-eng-v2.png) # 摘要 本论文详细介绍了CAS集群的基本概念、架构和工作原理,分析了...
【跨系统SSO实现秘籍】:在异构IT环境中确保SSO无间断
![SAP SSO configura](https://community.sap.com/legacyfs/online/storage/blog_attachments/2022/01/STRUST_01.jpg) # 摘要 单点登录(SSO)是一种...最后,通过案例研究,剖析了大型企业和中小企业成功实现系统S
5、网络可用性技术:构建高可用性TelePresence系统的关键
mac99的博客
06-04 374
本文深入探讨了构建高可用性TelePresence系统的网络技术,包括设备和网络弹性、第二层与第三层协议(如STP、RSTP、HSRP等)、以及运营可用性技术(如GOLD、EEM、ISSU)。通过冗余设计和自动化工具的应用,可以显著提高网络的稳定性和视频通信质量。
用友U8与OAuth2.0整合:实现现代化SSO体验的最佳实践
首先概述了OAuth2.0协议与用友U8系统整合的必要性和可行性。接着详细解析了OAuth2.0的协议原理、组件及其认证授权机制,以及用友U8系统现有认证机制的分析。文中重点阐述了整合的具体步骤、实践应用,包括实现单点
使用JWT实现SSO单点登录
传统的登录方式要求用户每次访问不同的应用程序时都要进行身份验证,而SSO则通过在用户首次登录时生成一个令牌,该令牌可以跨多个应用程序进行传递,实现在该用户访问其他应用程序时无需再次验证身份。 #### 1.2 ...
使用sso(cas)的时候报单点登录service不匹配问题分析及解决
jcoiwenwfkowe的博客
08-14 437
使用sso(cas)的时候报单点登录service不匹配问题分析及解决
SSO(单点登录)实施中遇到的几个问题
yan_dk的专栏
12-21 1万+
单点登录应用中,遇到如下的几个问题:1.超时问题;2.jsessionid问题;3.单点退出时有时子系统未能正常退出;4.有些请求路径不需要单点登录过滤器拦截;5.不同应用服务实现可能要求SSO客户端做适应性改造。我们具体分析一下,并提出解决方法。 1.超时问题         我们提供的CAS开源单点登录SSO组件,它部署节点主要有2个:SSO服务器(部署内容为一个web应用)、应用系统
CAS单点登录(SSO)服务器配置
随风逐亚的专栏
10-12 807
一、单点登录的概念       单点登录(SSO)英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。      简单的 SSO 的体系中,会有下面三种角色:    1 、 User (多个)    2 、
SSL 中证书是否可以使用IP而不是域名
热门推荐
枫飘瞬间
07-14 3万+
以前听别人说生成证书时可以用IP地址,今天用例子证实了下用IP地址是不行的。
深入浅出单点登录(SSO
zhongmanli的博客
07-17 2万+
1. 摘要   ( 注意:请仔细看下摘要,留心此文是否是您的菜,若浪费宝贵时间,深感歉意!!!) SSO这一概念由来已久,也是相当普遍的一种身份验证设计,网络上对应不同场景的SSO解决方案比比皆是,从简单到复杂、安全等级的步步攀升,可谓百花争艳!如:开源的有OpenSSO、CAS ,微软的AD SSO,及基于kerberos 的SSO等等……以上列举的都是些比较成熟的产品或解决方案,安全方面...
服务器获取本地Ip地址
cl185303590的专栏
06-22 1485
在很多时候需要得到本地的Ip地址,又没有配置文件可以读取,可以用下面了这个函数来获得:string getLocalIp() { char ip[128] = {0}; char buff[BUFSIZ]; struct ifconf conf; conf.ifc_len = BUFSIZ; conf.ifc_buf = buff; const in
cas 配置https改为ip而不是使用域名
lovelife110的博客
02-23 4899
cas注销时地址是https,提示Error is [java.security.cert.CertificateException: No subject alternative names present]因为某些原因,访问cas以及子系统希望通过ip来访问并且要使用https协议网上很多文章说要使用CAS单点登录必须要配置域名, cas server是不能通过ip访问的,这实际上是错误的,这...
golang怎么实现sso单点登录,并详细讲解下sso实现机制
最新发布
06-08
<think>我们正在讨论如何使用Golang实现SSO单点登录,并且需要详细解释其实现机制。根据提供的引用,我们可以知道:-引用[1]提到了一个基于Golang实现的单点登录系统(go-sso),它支持手机号注册、登录和登出,并使用cookie和JWT进行用户认证。-引用[2]解释了单点登录的基本概念:在A系统登录后,跳转到B系统时无需再次登录,并提到通常有一个独立的用户中心。-引用[3]和[4]则提到在实施SSO时可能遇到的问题,例如单点退出时子系统未能正常退出、超时问题等。因此,我们需要详细解释Golang中SSO实现机制,包括核心流程(登录、验证、登出)和常见问题处理。###SSO基本概念单点登录(SSO)允许用户通过一次登录访问多个相互信任的应用系统。其核心在于将用户认证集中在独立的认证中心(通常是用户中心),各业务系统(子系统)通过该认证中心来验证用户身份。###SSO实现机制详解在Golang中实现SSO,我们可以采用以下步骤:####1.认证中心(UserCenter)认证中心负责用户登录、生成令牌、验证令牌和登出。引用[1]中提到的go-sso项目即实现了认证中心的功能。-**用户登录**:用户通过手机号和密码(或验证码)登录,认证中心验证成功后生成一个令牌(Token),通常使用JWT(JSONWebToken)。-**令牌生成**:JWT包含用户信息(如用户ID)和签名,用于后续验证。例如:```go//生成JWT令牌funcGenerateToken(user*User)(string,error){token:=jwt.NewWithClaims(jwt.SigningMethodHS256,jwt.MapClaims{"userId":user.ID,"exp":time.Now().Add(time.Hour*24).Unix(),})tokenString,err:=token.SignedString([]byte("secret"))returntokenString,err}```-**令牌存储**:认证中心将生成的令牌返回给客户端(通常通过Cookie或URL参数),并可能需要将令牌与用户信息存储在缓存(如Redis)中,以便后续验证。####2.业务系统(子系统)业务系统需要集成SSO客户端(如一个中间件),用于验证用户是否已登录。-**用户访问子系统**:用户访问业务系统(例如www.site1.com)时,业务系统检查请求中是否有有效的令牌(例如从Cookie中获取)。-**无令牌时跳转认证中心**:如果没有令牌或令牌无效,则重定向到认证中心的登录页面,并携带一个回调地址(redirect_url)参数,例如:```https://www.usercenter.com/login?redirect_url=https%3A%2F%2Fwww.site1.com%2Fhome```-**认证中心验证并重定向**:用户登录成功后,认证中心生成令牌,并将令牌附加到回调地址(redirect_url)上,然后重定向回业务系统,例如:```https://www.site1.com/home?token=xxx.yyy.zzz```-**业务系统验证令牌**:业务系统获取到token后,需要向认证中心验证该令牌的有效性(或者通过JWT签名自行验证,但要注意安全,通常由认证中心提供公钥验证签名)。```go//验证JWT令牌funcVerifyToken(tokenStringstring)(*jwt.Token,error){token,err:=jwt.Parse(tokenString,func(token*jwt.Token)(interface{},error){return[]byte("secret"),nil})returntoken,err}```验证通过后,业务系统可以根据令牌中的用户信息(如userId)创建局部会话(Session)并设置Cookie,这样后续请求在同一个子系统内无需再验证。####3.单点登出用户登出时,需要销毁所有子系统的会话。引用[3]和[4]提到登出时可能遇到子系统未能正常退出的问题,因此需要设计全局登出流程。-**发起登出请求**:用户在任何一个子系统点击登出,该子系统向认证中心发送登出请求。-**认证中心广播登出**:认证中心记录所有已登录的业务系统,并向这些系统发送登出请求(或由子系统注册登出回调URL)。-**子系统清理会话**:每个子系统收到登出请求后,销毁该用户的局部会话,并清除Cookie。-**认证中心清理用户状态**:认证中心销毁全局令牌,并清除与用户相关的令牌缓存。###常见问题与解决(根据引用[3][4])1.**超时问题**:JWT令牌设置合理的有效期(通常较短),同时配合使用刷新令牌机制,在令牌快过期时刷新令牌。2.**单点退出问题**:确保认证中心记录所有登录过的子系统,并在登出时通知所有子系统(可使用前端或后端通知机制)。3.**不需要拦截的路径**:在SSO客户端中间件中设置白名单,例如登录页面、静态资源等不需要验证的路径。4.**不同应用服务的适配**:由于子系统可能由不同语言或框架实现,因此认证中心需要提供标准的协议(如OAuth2)和接口。###Golang实现示例在Golang中,我们可以使用成熟的库(如jwt-go)来处理JWT令牌,并使用Redis作为缓存存储令牌和用户信息。以下是一个简化的认证中心登录处理流程:```go//认证中心登录处理funcLoginHandler(whttp.ResponseWriter,r*http.Request){//1.验证用户登录信息(手机号+密码/验证码)//...省略验证过程//2.生成JWTtoken,err:=GenerateToken(user)iferr!=nil{http.Error(w,err.Error(),http.StatusInternalServerError)return}//3.将令牌存储到Redis(可设置过期时间)err=redisClient.Set(ctx,"token:"+token,user.ID,time.Hour*24).Err()iferr!=nil{http.Error(w,err.Error(),http.StatusInternalServerError)return}//4.将令牌设置到Cookie(或通过URL参数返回)http.SetCookie(w,&http.Cookie{Name:"jwt",Value:token,Expires:time.Now().Add(time.Hour*24),Path:"/",Domain:".usercenter.com",//主域名,确保子域名可以访问})//5.重定向回原系统(从redirect_url参数中获取)redirectURL:=r.URL.Query().Get("redirect_url")ifredirectURL!=""{http.Redirect(w,r,redirectURL,http.StatusFound)}else{w.Write([]byte("登录成功"))}}```###结论在Golang中实现SSO的关键在于:-独立认证中心处理用户认证和令牌管理。-各业务系统通过SSO客户端中间件拦截请求并验证令牌。-使用JWT令牌传递用户信息,结合缓存存储。-全局登出机制需要协调各子系统同步销毁会话。以上机制可以帮助我们构建一个健壮的单点登录系统。引用[1]的go-sso项目提供了具体实现参考,建议查看其源码以深入了解细节。[^1]§§相关问题§§1.Golang中如何安全地存储和传输JWT令牌?2.单点登录系统如何防止令牌被窃取?3.如何实现单点登录中的令牌刷新机制?</think> ### Gololang中SSO单点登录的实现机制详解 #### 一、核心实现原理 SSO的核心是通过**集中式认证中心**(如`usercenter.com`)管理用户身份,业务系统(`site1.com/site2.com`)通过令牌验证实现无感登录,流程如下: 1. **用户访问业务系统** 用户访问`site1.com`时,系统检测未登录,重定向到认证中心登录页: `https://www.usercenter.com/login?redirect_url=https%3A%2F%2Fwww.site1.com%2Fhome`[^2] 2. **认证中心登录验证** 用户提交凭据(手机号+密码/验证码),认证中心完成: ```go // go-sso示例:生成JWT令牌 func generateJWT(user User) string { token := jwt.New(jwt.SigningMethodHS256) claims := token.Claims.(jwt.MapClaims) claims["user_id"] = user.ID claims["exp"] = time.Now().Add(24 * time.Hour).Unix() tokenString, _ := token.SignedString([]byte("your-secret-key")) return tokenString } ``` 3. **令牌传递与验证** 认证中心重定向回业务系统并附加令牌: `https://www.site1.com/home?token=eyJhbGci...` ```go // 业务系统验证JWT func verifyToken(tokenString string) (User, error) { token, _ := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) { return []byte("your-secret-key"), nil }) claims := token.Claims.(jwt.MapClaims) return User{ID: claims["user_id"].(string)}, nil } ``` 4. **会话维持** 业务系统验证令牌后创建局部会话(Cookie或Session),后续请求无需重复认证。 #### 二、关键技术实现 1. **认证方式选择** - **Cookie跨域**:设置`SameSite=None; Secure`实现顶级域名共享(如`.company.com`) - **JWT令牌**:无状态且防篡改,包含用户ID、有效期等[^1] 2. **安全通信保障** ```go // 强制HTTPS func main() { router := gin.Default() router.Use(tlsHandler()) } func tlsHandler() gin.HandlerFunc { return func(c *gin.Context) { if c.Request.TLS == nil { url := "https://" + c.Request.Host + c.Request.RequestURI c.Redirect(http.StatusMovedPermanently, url) } } } ``` 3. **单点登出流程** - 用户退出时,认证中心通知所有子系统清除会话 - 子系统注册登出回调接口(如`/sso/logout`) ```mermaid graph TD A[用户点击退出] --> B[业务系统通知认证中心] B --> C[认证中心广播登出请求] C --> D[子系统A清除会话] C --> E[子系统B清除会话] ``` #### 三、关键问题解决方案 1. **会话不同步问题** - 现象:退出后子系统仍显示旧用户数据[^3] - 解决:实施**登出广播机制** + 客户端定时令牌检查 ```go // 子系统定时检查令牌状态 func checkTokenAlive() { ticker := time.NewTicker(5 * time.Minute) for range ticker.C { if !isValidToken(localToken) { clearSession() } } } ``` 2. **超时管理** - JWT设置双有效期:短访问令牌(1h) + 长刷新令牌(7d) ```go // 令牌刷新接口 func refreshToken(oldToken string) (newToken string) { if verifyRefreshToken(oldToken) { return generateJWT(currentUser) } return "" } ``` 3. **路径过滤** - 白名单配置免验证路径(如静态资源、健康检查) ```go // SSO中间件示例 func SSOMiddleware() gin.HandlerFunc { return func(c *gin.Context) { if contains(whiteList, c.Request.URL.Path) { c.Next() return } // 验证逻辑... } } ``` #### 四、完整流程示例 ```mermaid sequenceDiagram participant User participant Site1 participant AuthCenter participant Site2 User->>Site1: 访问受限资源 Site1->>User: 302重定向到认证中心 User->>AuthCenter: 提交登录凭证 AuthCenter->>User: Set-Cookie: sso_token=xyz AuthCenter->>User: 302重定向回Site1(带token) User->>Site1: 携带token访问 Site1->>AuthCenter: 验证token有效性 AuthCenter->>Site1: 返回用户ID Site1->>User: 设置本地Cookie User->>Site2: 访问受限资源 Site2->>User: 302重定向到认证中心(已登录) AuthCenter->>Site2: 签发新token Site2->>User: 设置本地会话 ``` #### 五、最佳实践建议 1. **令牌安全** - JWT使用RS256非对称加密 - 敏感操作要求二次认证 2. **性能优化** - 使用Redis缓存令牌状态 ```go // Redis存储示例 err := client.Set(ctx, "user:123:token", token, 24*time.Hour).Err() ``` 3. **防跨站攻击** - 严格校验`redirect_url`域名白名单 - 添加state参数防CSRF 4. **会话监控** - 实时记录登录设备/IP - 异常登录即时告警 [^1]: go-sso项目实现了Cookie+JWT双认证模式,支持灵活接入业务系统。 [^2]: 单点登录依赖顶级域名共享和令牌传递机制实现系统认证。 [^3]: 登出不一致问题需通过会话广播+客户端轮询解决[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值