ASP.NET站点跨子域名单点登陆（SSO）的实现

 

http://blog.csdn.net/jason_dct/article/details/8502075

 

ASP.NET站点跨子域名单点登陆（SSO）的实现

在MSDN的文档“配置跨应用程序的 Forms 身份验证（http://msdn2.microsoft.com/zh-CN/library/eb0zx8fc.aspx）” 中，提出了在Web Farm和多个应用程序之间实现共享身份登陆信息的方法。这个方法实现的其实是场环境下的身份共享，对于跨子域名的单点登陆，如网易和CSDN的通行证的实现，也有很多朋友给出了解决方案，参见：http://www.cnblogs.com/dudu/archive/2005/07/04/186279.html

Form验证其实是基于身份cookie的验证。客户登陆后，生成一个包含用户身份信息（包含一个ticket）的cookie，这个cookie的名字就是在web.config里Authentication节form设定的name信息，如

<authentication mode="Forms">
   <forms loginUrl="login.aspx" name=".ASPXAUTH" path="/" protection="All" ></forms>
 </authentication>

这里，.ASPNETAUTH就是这个Cookie的名字。通过在Request.Cookies集合里包含这个cookie，实现用户身份信息的传递。所以，共享身份验证信息的思路很简单：只要这个身份验证cookie能在自域名中共享，Form验证信息自然可以共享！

共享Cookie的文章网上很多，基本的做法就是设定Cookie的domain属性。cookie的domain指定了此cookie所关联的域。domain默认为String.Empty，表示关联的域是当前Request对应的域。如果domain设定一个子域名，如cookie.Domain="brookes.com"，则表示此cookie关联brookes.com下所有的下级域。因此，可以被www.brookes.com/web2.brookes.com......等共享。

至此，实现跨子域名的Form验证信息共享的方法就很简单：

 if (Membership.ValidateUser(userName, password))
          ...{
                FormsAuthentication.SetAuthCookie(userName.Text, false);
                HttpCookie cookie = Response.Cookies[FormsAuthentication.FormsCookieName];
                cookie.Domain = ".brookes.com";
                Response.Cookies.Add(cookie);
                FormsAuthentication.RedirectFromLoginPage(userName,false);
            }

这个代码说明的是实现的原理。这里，实现的自己写Form验证的过程。如果使用的是Login控件，由framework自己完成验证，怎么设定这个cookie的domain呢？

可以有三种方式：

1. 在Login.OnLoggedIn事件中处理。这个事件在用户通过身份验证后触发，验证cookie已经存在，可以修改其domain属性，代码参考上面；
2. 将验证用户、设定AuthCookie的过程写成一个HttpMoudle。这个方法稍负责，可google代码
3.有一个最最最简单的方法，在.net 2.0 中，Authticainon的forms元素新添了一个属性：domain。这个属性对应的就是form的AuthCookie的domain属性。因此，只需要在每个子域的web.config中作如下设置：

<authentication mode="Forms">
   <forms loginUrl="login.aspx" name=".ASPXAUTH" path="/" protection="All" domain="brookes.com"></forms>
 </authentication>

OK，现在你不需要作任何其他设置了，你的brookes.com下所有的子域都可以共享form验证身份信息了！

还要说明几点：
1. 这个domain属性会覆盖在httpCookie配置节的domain属性设置，但是只会影响到AuthCookie，其他cookie不受影响；
2. 看了上面这一条，当然会想到我可以设定httpCookies配置节，如：
   <httpCookies domain="brookes.com"/>
  效果是一样的。不同指出在于，httpCookies指定了站点内所有cookie的domain属性，这将导致站点内所有的cookie都可以在子域间共享！至于这种共享是需要还是该避免，根据需要具体判断。
3. 这个domain属性，我看到在有的文档里强调在前面加一个点，如domain=".brookes.com"，而MS的文档里都没有这个点。根据我的测试结果，两个写法没有区别，效果一样。

-----------------------------------------------------------------------------------------------------------------------------------------

1 对于纯web得sso,如果有独立得SSO登陆服务器，所有的验证都跳转到这个服务器的界面，登陆的状态保留在sso server上

2 如果要桌面和web共同认证，还是必须有独立得SSO，

对于自己实现的方案，例如如果是通过一个桌面程序来实现SSO，那么必须有一台SSO服务器，桌面程序通过httpclient验证身份，然后可以通过
a. 修改本机cookies让IE传认证令牌
b. 直接把认证令牌作为url字符串根在桌面程序的一个链接后面

令牌说法比较含糊,具体两种方法：
1 所有得url均复写令牌
2 只要保留浏览器对SSO web server的cookies,跳转应用程序的时候，web app先redirect到ssoserver，验证cookies后，跳回来，对用户来说，感觉不到去过ssoserver，呵呵，

很多网站，例如google好像就是这个方法

jaas本质上只解决一个登录可配置的问题，像tomcat用jaas，只能解决同时登陆tomcat上得N个应用，而且仅限于java，对SSO实现还是要按上面的方法。kerberos往往是和系统一

些模块紧密结合的，扩展不一定方便。

3 如果windows是唯一登录入口，也就是没有第二台SSO登录服务器。
那么实现SSO的核心，就是登录域之后，IE能够把域信息发送给服务端：

  配置IE浏览器
  ①internet选项-->安全-->本地intranet-->站点-->高级
  添加wls
  ②internet选项-->高级-->安全
  确定,集成windows身份认证被选中

服务段的weblogic接收到这个令牌以后，要去AD上验证

集成Windows身份验证(以前称为NTLM身份验证和Windows NT质询／响应身份验证)可以使用NTLM或Kerbetas身份验证，NTLM是Microsoft的一项专有技术，自问世以来已几经更新，

虽然这种机制稳定可靠但它有一个致命缺点是不能进行委派，这就意味着用户凭据不能流动到远程服务(如SQL Server)。而Kerberos却不存在这种问题，在保持稳定安全的验证机

制的同时还可以在Windows环境中轻松地使用委派，我们要讨论的就是这种机制。

Kerberos大多数情况下要求使用Microsoft Active Directory，因为Active Directory 充当Kerberos令牌授予服务(TGS／TGT)。

如果用kerberos，那就很简单了，windows和weblogic都支持kerberos，认证数据都在AD上
参考资料  http://edocs.bea.com.cn/wls/docs92/secmanage/sso.html

from:http://www.cnblogs.com/csdnexpert/archive/2007/12/17/999415.html

-------------------------------------------------------------------------------------------------------------------------------------------

Java SSO参考：http://www.cnblogs.com/hannover/archive/2009/10/15/1583692.html