詳解ASP.NET MVC SSO單點登入設計執行個體

本篇文章主要介紹了ASP.NET MVC SSO單點登入設計與實現，具有一定的參考價值，有興趣的可以瞭解一下。

實驗環境配置

HOST檔案配置如下：

127.0.0.1 app.com
127.0.0.1 sso.com

IIS配置如下：

應用程式集區採用.Net Framework 4.0

注意IIS綁定的網域名稱，兩個完全不同域的網域名稱。

app.com網站配置如下：

sso.com網站配置如下：

memcached緩衝：

資料庫配置：

資料庫採用EntityFramework 6.0.0，首次運行會自動建立相應的資料庫和表結構。

授權驗證過程示範：

在瀏覽器地址欄中訪問：http://app.com，如果使用者還未登陸則網站會自動重新導向至：http://sso.com/passport，同時通過QueryString傳參數的方式將對應的AppKey應用標識傳遞過來，運行如下：

URL地址：http://sso.com/passport?appkey=670b14728ad9902aecba32e22fa4f6bd&username=

輸入正確的登陸帳號和密碼後，點擊登陸按鈕系統自動301重新導向至應用會掉首頁，毀掉成功後如下所示：

由於在不同的域下進行SSO授權登陸，所以採用QueryString方式返回授權標識。同域網站下可採用Cookie方式。由於301重新導向請求是由瀏覽器發送的，所以在如果授權標識放入Handers中的話，瀏覽器重新導向的時候會丟失。重新導向成功後，程式自動將授權標識寫入到Cookie中，點擊其他頁面地址時，URL地址欄中將不再會看到授權標示資訊。Cookie設定如下：

登陸成功後的後續授權驗證（訪問其他需要授權訪問的頁面）：

校正地址：http://sso.com/api/passport?sessionkey=xxxxxx&remark=xxxxxx

返回結果：true，false

用戶端可以根據實際業務情況，選擇提示使用者授權已丟失，需要重新獲得授權。預設自動重新導向至SSO登陸頁面，即：http://sso.com/passport?appkey=670b14728ad9902aecba32e22fa4f6bd&username=seo@ljja.cn 同時登陸頁面郵箱地址文字框會自定補全使用者的登陸帳號，使用者只需輸入登陸密碼即可，授權成功後會話有效期間自動延長一年時間。

SSO資料庫驗證日誌：

使用者授權驗證日誌：

使用者授權會話Session：

資料庫使用者帳號和應用資訊：

應用授權登陸驗證頁面核心代碼：

/// <summary>  /// 公開金鑰：AppKey  /// 私密金鑰：AppSecret  /// 會話：SessionKey  /// </summary>  public class PassportController : Controller  {    private readonly IAppInfoService _appInfoService = new AppInfoService();    private readonly IAppUserService _appUserService = new AppUserService();    private readonly IUserAuthSessionService _authSessionService = new UserAuthSessionService();    private readonly IUserAuthOperateService _userAuthOperateService = new UserAuthOperateService();    private const string AppInfo = "AppInfo";    private const string SessionKey = "SessionKey";    private const string SessionUserName = "SessionUserName";    //預設登入介面    public ActionResult Index(string appKey = "", string username = "")    {      TempData[AppInfo] = _appInfoService.Get(appKey);      var viewModel = new PassportLoginRequest      {        AppKey = appKey,        UserName = username      };      return View(viewModel);    }    //授權登入    [HttpPost]    public ActionResult Index(PassportLoginRequest model)    {      //擷取應用資訊      var appInfo = _appInfoService.Get(model.AppKey);      if (appInfo == null)      {        //應用不存在        return View(model);      }      TempData[AppInfo] = appInfo;      if (ModelState.IsValid == false)      {        //實體驗證失敗        return View(model);      }      //過濾欄位無效字元      model.Trim();      //擷取使用者資訊      var userInfo = _appUserService.Get(model.UserName);      if (userInfo == null)      {        //使用者不存在        return View(model);      }      if (userInfo.UserPwd != model.Password.ToMd5())      {        //密碼不正確        return View(model);      }      //擷取當前未到期的Session      var currentSession = _authSessionService.ExistsByValid(appInfo.AppKey, userInfo.UserName);      if (currentSession == null)      {        //構建Session        currentSession = new UserAuthSession        {          AppKey = appInfo.AppKey,          CreateTime = DateTime.Now,          InvalidTime = DateTime.Now.AddYears(1),          IpAddress = Request.UserHostAddress,          SessionKey = Guid.NewGuid().ToString().ToMd5(),          UserName = userInfo.UserName        };        //建立Session        _authSessionService.Create(currentSession);      }      else      {        //延長有效期間，預設一年        _authSessionService.ExtendValid(currentSession.SessionKey);      }      //記錄使用者授權日誌      _userAuthOperateService.Create(new UserAuthOperate      {        CreateTime = DateTime.Now,        IpAddress = Request.UserHostAddress,        Remark = string.Format("{0} 登入 {1} 授權成功", currentSession.UserName, appInfo.Title),        SessionKey = currentSession.SessionKey      }); 104       var redirectUrl = string.Format("{0}?SessionKey={1}&SessionUserName={2}",        appInfo.ReturnUrl,         currentSession.SessionKey,         userInfo.UserName);      //跳轉預設回調頁面      return Redirect(redirectUrl);    }  }Memcached會話標識驗證核心代碼：public class PassportController : ApiController  {    private readonly IUserAuthSessionService _authSessionService = new UserAuthSessionService();    private readonly IUserAuthOperateService _userAuthOperateService = new UserAuthOperateService();    public bool Get(string sessionKey = "", string remark = "")    {      if (_authSessionService.GetCache(sessionKey))      {        _userAuthOperateService.Create(new UserAuthOperate        {          CreateTime = DateTime.Now,          IpAddress = Request.RequestUri.Host,          Remark = string.Format("驗證成功-{0}", remark),          SessionKey = sessionKey        });        return true;      }      _userAuthOperateService.Create(new UserAuthOperate      {        CreateTime = DateTime.Now,        IpAddress = Request.RequestUri.Host,        Remark = string.Format("驗證失敗-{0}", remark),        SessionKey = sessionKey      });      return false;    }  }

Client授權驗證Filters Attribute

public class SSOAuthAttribute : ActionFilterAttribute  {    public const string SessionKey = "SessionKey";    public const string SessionUserName = "SessionUserName";    public override void OnActionExecuting(ActionExecutingContext filterContext)    {      var cookieSessionkey = "";      var cookieSessionUserName = "";      //SessionKey by QueryString      if (filterContext.HttpContext.Request.QueryString[SessionKey] != null)      {        cookieSessionkey = filterContext.HttpContext.Request.QueryString[SessionKey];        filterContext.HttpContext.Response.Cookies.Add(new HttpCookie(SessionKey, cookieSessionkey));      }      //SessionUserName by QueryString      if (filterContext.HttpContext.Request.QueryString[SessionUserName] != null)      {        cookieSessionUserName = filterContext.HttpContext.Request.QueryString[SessionUserName];        filterContext.HttpContext.Response.Cookies.Add(new HttpCookie(SessionUserName, cookieSessionUserName));      }      //從Cookie讀取SessionKey      if (filterContext.HttpContext.Request.Cookies[SessionKey] != null)      {        cookieSessionkey = filterContext.HttpContext.Request.Cookies[SessionKey].Value;      }      //從Cookie讀取SessionUserName      if (filterContext.HttpContext.Request.Cookies[SessionUserName] != null)      {        cookieSessionUserName = filterContext.HttpContext.Request.Cookies[SessionUserName].Value;      }      if (string.IsNullOrEmpty(cookieSessionkey) || string.IsNullOrEmpty(cookieSessionUserName))      {        //直接登入        filterContext.Result = SsoLoginResult(cookieSessionUserName);      }      else      {        //驗證        if (CheckLogin(cookieSessionkey, filterContext.HttpContext.Request.RawUrl) == false)        {          //會話丟失，跳轉到登入頁面          filterContext.Result = SsoLoginResult(cookieSessionUserName);        }      }      base.OnActionExecuting(filterContext);    }    public static bool CheckLogin(string sessionKey, string remark = "")    {      var httpClient = new HttpClient      {        BaseAddress = new Uri(ConfigurationManager.AppSettings["SSOPassport"])      };      var requestUri = string.Format("api/Passport?sessionKey={0}&remark={1}", sessionKey, remark);      try      {        var resp = httpClient.GetAsync(requestUri).Result;        resp.EnsureSuccessStatusCode();        return resp.Content.ReadAsAsync<bool>().Result;      }      catch (Exception ex)      {        throw ex;      }    }    private static ActionResult SsoLoginResult(string username)    {      return new RedirectResult(string.Format("{0}/passport?appkey={1}&username={2}",          ConfigurationManager.AppSettings["SSOPassport"],          ConfigurationManager.AppSettings["SSOAppKey"],          username));    }  }

樣本SSO驗證特性使用方法：

[SSOAuth]  public class HomeController : Controller  {    public ActionResult Index()    {      return View();    }    public ActionResult About()    {      ViewBag.Message = "Your application description page.";      return View();    }    public ActionResult Contact()    {      ViewBag.Message = "Your contact page.";      return View();    }  }

總結：

從草稿範例程式碼中可以看到代碼效能上還有很多最佳化的地方，還有SSO應用授權登陸頁面的使用者帳號不存在、密碼錯誤等一系列的提示資訊等。在業務代碼運行基本正確的後期，可以考慮往更多的安全性層面最佳化，比如啟用AppSecret私密金鑰簽名驗證，IP範圍驗證，固定會話請求攻擊、SSO授權登陸介面的驗證碼、會話緩衝自動重建、SSo伺服器、緩衝的水平擴充等。