OA ⇄ CRM 单点登录(SSO)实现说明

最新推荐文章于 2025-12-18 17:57:27 发布
原创 最新推荐文章于 2025-12-18 17:57:27 发布 · 437 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django 

本文档说明在本仓库中基于自研认证体系(未使用 Django 默认认证)实现 OA → CRM 单点登录的整体方案、修改点、接口规范、配置方式、验证方法与安全要点。

### 一、实现目标
- 在 OA 系统成功登录后,点击“进入CRM系统”即可自动登录 CRM,无需再次输入用户名密码。
- 兼容现有自定义会话结构与中间件,不改动既有业务登录逻辑。

### 二、整体架构与流程
1. 用户在 OA 登录(`/login/`)成功,OA 设置自己的会话 `request.session["app"]`。
2. 用户点击 OA 导航中的“进入CRM系统”:访问 OA 的 `/crm/sso/redirect/`。
3. OA 从自己的会话中取出用户名,拼装参数 `username|ts|nonce`,使用共享密钥 `SSO_SHARED_SECRET` 生成签名 `sig`,并重定向到 CRM 的 `/oa/sso/login/`。
4. CRM 校验签名、时间窗口等,通过后在 CRM 端创建与自研体系一致的会话 `request.session["app"]` 并登录,随后跳转到目标页面。

### 三、关键代码位置

1) OA 侧
- 跳转视图:`oa/app/view/account.py` → `crm_sso_redirect`
- URL:`oa/oa/urls.py` 添加 `path('crm/sso/redirect/', account.crm_sso_redirect, name='crm_sso_redirect')`
- 导航入口:`oa/app/templates/layout.html` 导航栏加入“进入CRM系统”按钮,指向 `/crm/sso/redirect/?next=/index/`
- 中间件白名单:`oa/app/middleware/auth.py` 允许匿名访问 `/crm/sso/redirect/`
- 配置:`oa/oa/settings.py` 新增 `CRM_BASE_URL` 和共用的 `SSO_SHARED_SECRET`

2) CRM 侧
- SSO 登录视图:`app/view/account.py` → `oa_sso_login`
- 辅助接口:`sso_status_api`(查看登录态)、`sso_debug`(生成调试链接)
- URL:`CRM/urls.py` 已包含以下路由
  - `path('oa/sso/login/', account.oa_sso_login)`
  - `path('sso/status/', account.sso_status_api)`
  - `path('sso/debug/', account.sso_debug)`
- 中间件白名单:`app/midieware/auth.py` 放行上述 3 个路径
- 配置:`CRM/settings.py` 包含同一份 `SSO_SHARED_SECRET`

### 四、接口与签名规范

1) OA → CRM 重定向
- 目标:`{CRM_BASE_URL}/oa/sso/login/`
- Query 参数:
  - `username`:OA 当前用户在 CRM 中的用户名
  - `ts`:时间戳(秒)
  - `nonce`:随机字符串(防重放)
  - `sig`:签名
  - `next`:登录后跳转页面(可选,默认 `/index/`)

2) 签名规则
- 拼串:`payload = f"{username}|{ts}|{nonce}"`
- `sig = HMAC_SHA256(SSO_SHARED_SECRET, payload)`,以 16 进制字符串输出
- 时间窗口:±120 秒(超时拒绝)
- 校验:CRM 使用相同密钥与规则计算,对比 `sig`,并检查时间窗口

3) CRM 登录逻辑
- 通过签名与时间窗口后,CRM 检索 `models.Admin.objects.filter(username=username).first()`
- 校验用户是否存在/是否被禁用
- 构造 CRM 自定义会话:
  ```python
  request.session["app"] = {
      'id': admin_obj.id,
      'name': admin_obj.name,
      'username': admin_obj.username,
      'role': admin_obj.role,
  }
  request.session.set_expiry(60*60*24*7)
  ```

### 五、配置项

1) 双端共享密钥(必须一致)
- `oa/oa/settings.py`:
  ```python
  SSO_SHARED_SECRET = '123abc!@#'  # 请在生产替换并保密
  ```
- `CRM/settings.py`:
  ```python
  SSO_SHARED_SECRET = '123abc!@#'
  ```

2) 服务地址
- OA 访问地址:`127.0.0.1:8018`
- CRM 访问地址:`127.0.0.1:8009`
- OA 中 CRM 基地址:`oa/oa/settings.py`
  ```python
  CRM_BASE_URL = 'http://127.0.0.1:8009'
  ```

3) Cookie 隔离
- OA:`oa/oa/settings.py` → `SESSION_COOKIE_NAME = 'oa_sessionid'`
- CRM:`CRM/settings.py` → `SESSION_COOKIE_NAME = 'crm_sessionid'`

### 六、白名单与中间件

1) OA 中间件 `oa/app/middleware/auth.py`
```python
if request.path_info in ["/login/", "/image/code/", "/logout/","/register/","/crm/sso/redirect/"]:
    return
```

2) CRM 中间件 `app/midieware/auth.py`
```python
if request.path_info in ["/login/", "/image/code/", "/logout/","/register/","/oa/sso/login/","/sso/status/","/sso/debug/"]:
    return
```

### 七、前端入口

`oa/app/templates/layout.html` 导航栏:
```html
<li><a href="/crm/sso/redirect/?next=/index/" target="_blank">进入CRM系统</a></li>
```

可按需调整 `next` 到 CRM 具体页面,例如 `/customer/list/`。

### 八、验证步骤
1. 启动 OA 于 `127.0.0.1:8018`,CRM 于 `127.0.0.1:8009`。
2. 浏览器登录 OA `/login/`。
3. 点击 OA 顶部“进入CRM系统”。
4. 期望效果:自动跳转并登录 CRM(无需输入密码),到达 `next` 指定页面(默认 `/index/`)。
5. 联调辅助:
   - CRM 查看登录态:`/sso/status/`
   - CRM 生成调试链接:`/sso/debug/?username=<crm用户名>`

### 九、安全要点
- 强制使用 HMAC-SHA256 + 共享密钥校验,避免伪造。
- 采用 `ts + nonce` 防重放,限制时间窗口(±120 秒)。
- 双站点使用不同的 `SESSION_COOKIE_NAME`,避免 Cookie 冲突。
- 生产环境务必更换 `SSO_SHARED_SECRET` 并妥善保密,不要入库或提交到公开仓库。
- 建议为 SSO 接口加上访问频率限制与审计日志。

### 十、常见问题
- “跳转后提示 Invalid signature/expired”:检查两端 `SSO_SHARED_SECRET` 是否一致、机器时间是否同步、链接是否过期。
- “User not found in CRM”:确认 CRM 数据库中存在同名 `Admin.username`。
- “登录成功但显示权限不足/菜单不对”:核对 CRM 里该用户的 `role/status`。

### 十一、后续可选增强
- 增加 SSO 单点登出(SLO):在一端退出同步通知另一端清理会话。
- 增加签名密钥滚动与版本号,便于安全升级。
- 通过后端存储 `nonce` 使用记录,进一步抵御重放攻击。
Spring Boot进阶(87):基于Spring Security实现单点登录SSO) | 超级详细,建议收藏
**My Coding Family**
04-17 3536
基于Spring Security实现单点登录SSO),一文带你学会。
Shiro与CAS集成:实现单点登录(SSO)
m0_65382359的博客
07-08 1250
想象一个企业有OA系统、CRM系统、财务系统和HR系统。如果没有SSO,一个员工每天需要在这四个系统里分别登录,管理四套不同的密码,效率低下且容混淆。单点登录(Single Sign-On)在一个多应用环境中,用户只需登录一次,就可以访问所有相互信任的应用系统,无需再次输入用户名和密码。它通过一个独立的、中央的认证中心来实现。所有的应用系统都信任这个中心,并将认证的"工作"全部委托给它。委托思想:SSO的核心是将认证的职责完全委托给一个可信的中央服务。
第三方系统单点登录OA
qq_44972887的博客
04-11 1062
1.在集成中心-统一认证中心-token认证中开启(注:开启需要重启oa服务)2.注册认证应用设置3.获取token第三方系统添加ssoToken即可访问。
销售和云之家对接项目之一: 单点登陆问题的解决
jiafeitutu的博客
06-14 699
销售和云之家对接项目之一: 单点登陆问题的解决
OA单点登录接口
u012951478的博客
07-27 2426
OA是一个全局性的系统,经常会做为身份源使用,从OA直接进入第三方系统。为此OA提供了单点登录验证接口(SSO验证接口),供第三方系统进行身份验证。
OAuth2.0 原理流程及其单点登录和权限控制
Java知音
02-01 2308
作者:王克锋kefeng.wang/2018/04/06/oauth2-sso单点登录是多域名企业站点流行的登录方式。本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点...
泛微OA如何与其他系统实现单点登录
没有故事的博主
11-02 5376
因为每一个系统单点登录的认证方式不通,这里主要介绍OA如果获取相应单点需要的数据 <%@ page language="java" contentType="text/html; charset=UTF-8" %> <%@ page import="weaver.general.Util" %>//可引用需要的文件,用于后面获取数据 <%@ page import="com.weavernorth.util.MD5Util" %> <%@ page import=
手写SSO单点登录
刻苦的樊同学
11-08 1411
官方介绍:单点登录,简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。more。
致远OA与帆软BI单点登录配置方法
10-18
为了提高工作效率并提升用户体验,实现不同系统间的单点登录(Single Sign-On,简称SSO)功能变得尤为重要。本文将详细介绍如何在致远OA与帆软BI之间实现单点登录集成,让用户只需一次认证即可在两个系统间自由切换...
Laravel SSO单点登录包开发与实现
标题“Laravel开发-sso”明确指出该资源聚焦于使用Laravel框架实现单点登录功能,而描述进一步说明这是一个适用于Laravel 4版本的SSO包,由开发者pantsel维护并开源发布。结合标签信息如“Laravel, SSO, 单点登录, ...
解决session会话共享问题的方案
hello77的blogggg 祝你得偿所愿
04-23 1265
在分布式系统中,用户访问网站时,服务器需要记住用户的状态(比如用户是否登录、用户的权限等)。这就需要会话管理。传统的Session机制在分布式环境下会出现问题,因为不同的服务器实例可能无法共享Session数据。为了解决这个问题,有两种常见的方案:Redis + Session 和 JWT。
通达OA系统对接 单点登录平台使用和开发手册
08-17 3745
企业开放平台使用说明书 企业开放平台用于整合第三方系统,具有单点登录、统一事务代办的功能, 以下操作说明第三方系统OA系统简单介绍。 单点登录平台 Step 1 菜单构成 通达OA2017版安装好之后,以admin身份登陆系统,可以看到企业开放平台操作菜单,如下图所示 如果看不到上述菜单,请依次访问 系统管理 ->组织机构设置->角色与权限管理,把应用中心相关菜单勾选上,如下图: Step 2 添加系统 进入企业开放平台->单点登录...
单点登录-第三方对接OAuth2.0-正在书写中ing
鼠爷
04-24 2701
大家好,你是不是经常遇到这样的烦恼:每次想登录一个新的网站或者应用,都要重新输入用户名和密码,有时候还得设置各种密保问题,简直烦死个人了!其实啊,有一个叫做“单点登录”的东西,就像是给你准备了一把“万能钥匙”,只要有了它,你就可以轻松打开多个应用的大门,再也不用为登录发愁了。而在这个“万能钥匙”里,有一个非常流行的“零件”叫做OAuth2.0,它能让第三方应用轻松对接到你的账户,让你在享受各种服务的同时,还能保证账号的安全。
统一认证管理系统(单点登录系统)sso 浅谈
热门推荐
zxln007的博客
04-30 1万+
        我所在的公司比较大,内部的各种管理系统和业务系统比较多,然而所有的系统都可以用公司的OA的员工工号和密码直接进行登录 (当然登录界面都是一个就是内部OA门户)。从进入公司以来我就一直有个问题,这是怎么做到的?毕竟假如每个系统一套数据库,那么所有的系统都得同步OA系统的员工账户表,这是比较繁琐的工程,也容出错,比如人员的入职离职等等。后来请教了一下某个老员工,才知道单点登录这样的好...
python+django/flask+vue基于spark的西南天气数据的分析与应用系统
Q_Q511008285的博客
12-10 1327
基于Spark的西南天气数据分析与应用系统,是一个结合大数据处理、分布式计算与Web开发技术的综合平台,旨在高效处理和分析西南地区复杂多变的天气数据,为公众提供精准的天气预报和相关服务。
Django 6.0 发布,新增原生任务队列与 CSP 支持
Sammyyyyy的博客
12-15 821
12月了,Django 6.0 即将发布。Django 这次次更新不仅强化了安全性和现代开发体验,更引入了社区期待已久的后台任务接口。同时,Django 6.0 对 Python 版本提出了更高的要求,一起来看看。以下是 Django 6.0 值得关注的核心变化。
Django全流程实战:从项目搭建、模型操作到模板渲染与详情页跳转
howard2005的专栏
12-16 1319
本实战通过搭建 Django 项目,创建 members 应用,完成虚拟环境配置、模型定义、数据库迁移、数据增删改查、模板渲染及详情页跳转等核心功能,系统演示了 Django Web 开发的完整流程。
Python+Django 核心介绍
2501_94473255的博客
12-15 777
Python+Django 是一套主流的 Web 开发技术栈,其中 Django 是基于 Python 语言的开源高级 Web 框架,遵循 “MTV(Model-Template-View)” 架构(对应传统 MVC 架构),主打 “快速开发、开箱即用、安全可靠”,是构建中大型企业级 Web 应用、RESTful API、管理后台等场景的首选方案之一。
【蔬菜识别系统】Python+TensorFlow+Vue3+Django+人工智能+深度学习+卷积网络+resnet50算法
最新发布
子午的博客
12-18 1208
蔬菜识别系统,基于TensorFlow搭建卷积神经网络算法,通过对8种常见的蔬菜图片数据集(‘土豆’, ‘大白菜’, ‘大葱’, ‘莲藕’, ‘菠菜’, ‘西红柿’, ‘韭菜’, ‘黄瓜’)进行训练,最后得到一个识别精度较高的模型,然后搭建Web可视化操作平台。前端后端:Django算法:TensorFlow、卷积神经网络算法具体功能系统分为管理员和用户两个角色,登录后根据角色显示其可访问的页面模块。登录系统后可发布、查看、编辑文章,创建文章功能中集成了markdown编辑器,可对文章进行编辑。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一路生花工作室

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值