欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Cookie的secure屬性引起單點登錄中的循環(huán)登錄問題

 更新時間:2024年09月07日 09:12:07   作者:vivo互聯(lián)網(wǎng)  
在實施單點登錄(SSO)時,可能會遇到循環(huán)登錄問題,導致用戶無法正常使用系統(tǒng),本文首先介紹了單點登錄的基本概念和實現(xiàn)原理,然后詳細分析了循環(huán)登錄的產(chǎn)生原因,主要是由于Cookie的Secure屬性設(shè)置不當,在使用HTTP訪問時Cookie無法被傳遞導致

在實施單點登錄(SSO)時,可能會遇到循環(huán)登錄問題,導致用戶無法正常使用系統(tǒng)。本文首先介紹了單點登錄的基本概念和實現(xiàn)原理,然后詳細分析了循環(huán)登錄的產(chǎn)生原因,主要是由于Cookie的Secure屬性設(shè)置不當,在使用HTTP訪問時Cookie無法被傳遞導致的。提出的解決方案包括使用HTTPS進行訪問或增加一個新的Cookie參數(shù)。此外,還探討了Cookie端口不隔離性的問題,指出即使是不同端口的服務(wù)也會共享同一個Cookie,這增加了處理此類問題的復雜性。整體來看,文章為開發(fā)人員提供了處理和預防循環(huán)登錄問題的有效策略。

一、單點登錄簡單介紹

1.1 基本概念

一個公司內(nèi)部可能存在多個系統(tǒng),如果每一個人在使用不同系統(tǒng)的時候都需要重新登錄,那么會做大量系統(tǒng)登錄切換、耗費比較多的精力去管理賬號和密碼,那么有沒有辦法在一個公司內(nèi)部的所有系統(tǒng)只需要一次登錄驗證,后續(xù)使用其他系統(tǒng)的時候不用重復登錄就可以直接使用呢,這就是單點登錄要解決的問題。

單點登錄英文全稱 Single Sign On(SSO),允許用戶一次登錄即可訪問多個應用程序或系統(tǒng),無需為每個應用程序或系統(tǒng)分別輸入認證憑據(jù),便可在其他所有系統(tǒng)中得到授權(quán),無需再次登錄。

1.2 基本實現(xiàn)原理

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_單點登錄_02

  • 用戶登錄:用戶在任何一個應用程序或系統(tǒng)中進行身份驗證,并提供他們的憑據(jù)。
  • 認證系統(tǒng)驗證:該憑據(jù)被發(fā)送到認證系統(tǒng)進行驗證。如果憑據(jù)有效,則認證系統(tǒng)會為用戶生成數(shù)字簽名的令牌(如 Token 或 Ticket)。
  • 令牌分發(fā):認證系統(tǒng)將令牌返回給應用程序或子系統(tǒng)。
  • 應用程序或系統(tǒng)授權(quán):應用程序或系統(tǒng)使用令牌驗證用戶的身份,并授權(quán)其訪問相應資源或服務(wù)。
  • 跨域系統(tǒng)訪問:用戶可以通過同一令牌訪問多個跨域應用程序或系統(tǒng),而無需重復進行身份驗證。

二、循環(huán)登錄問題

在某一天我們登錄一個內(nèi)部系統(tǒng)時,突然出現(xiàn)了循環(huán)登錄問題,前端頁面不斷刷新,提示“重定向次數(shù)過多問題”。

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_https_03

打開前端調(diào)試功能, 我們會發(fā)現(xiàn)確實存在大量重定向請求的問題:

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_cookie_04

那么平時登錄沒問題的系統(tǒng)為什么突然間就循環(huán)登錄呢?并在頁面上提示的解決方法“嘗試刪除您的 Cookie 操作”,按照這個操作以后,確實系統(tǒng)又可以跳轉(zhuǎn)到登錄頁面正常進行登錄了,這又是什么原因?下面我們將逐一分析。

三、從一次正常登錄流程說起

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_https_05

上述是一個通用的系統(tǒng)權(quán)限管控和單點系統(tǒng)認證的標準流程:

  • 用戶第一次訪問時,在瀏覽器輸入 https://aaa.x.y 回車
  • 權(quán)限系統(tǒng)進行攔截,判斷用戶是否登錄,這里主要是通過是否有登錄信息判斷,如果沒有登錄,權(quán)限系統(tǒng)會幫我們跳轉(zhuǎn)到單點登錄系統(tǒng),彈出用戶登錄頁。
  • 用戶填寫用戶名、密碼,單點登錄系統(tǒng)進行認證后,將登錄狀態(tài)寫入 SSO 的 session。
  • SSO 系統(tǒng)登錄完成后會給我們的系統(tǒng)生成一個 Token ,然后跳轉(zhuǎn)到我們的系統(tǒng),同時將 Token 作為參數(shù)傳遞給我們的系統(tǒng)。
  • 我們系統(tǒng)拿到 Token 后,從后臺向 SSO 發(fā)送請求,驗證 Token 是否有效。
  • 驗證通過后,我們系統(tǒng)將記錄頂級域下的 Cookie 信息。
Connection: keep-alive
Content-Length: 0
Date: Wed, 25 Oct 2023 08:29:43 GMT
Location: http://aaa.x.y/console/login/auth?redirectUrl=http://aaa.x.y/
optrace: xx.xx.xx.xx:80/302 <- -
Server: nginx
Set-Cookie: token=fakdfajdfdjfdjkfaldfjk'afafjasfasfa; Max-Age=86400; Expires=Thu, 26-Oct-2023 08:29:43 GMT; Domain=x.y; Path=/; HttpOnly

一個公司內(nèi)部一般情況下只有一個域名,通過二級域名區(qū)分不同的系統(tǒng)。比如我們有個域名叫做:x.y ,同時有兩個業(yè)務(wù)系統(tǒng)分別為:app1.x.y 和 app2.x.y。SSO 登錄以后,可以將 Cookie 的域設(shè)置為頂域,即 x.y ,這樣所有子域的系統(tǒng)都可以訪問到頂域的 Cookie,實現(xiàn)單點登錄功能。

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_cookie_06

四、循環(huán)登錄產(chǎn)生的根本原因

那么為什么會不斷循環(huán)登錄呢?

(1)從跳轉(zhuǎn)記錄來看,我們發(fā)現(xiàn)重新刷新頁面以后,重定向到了權(quán)限系統(tǒng),并且 Request Headers 中的 Cookie 信息沒有傳對應的 Token 信息。

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_單點登錄_07

(2)跳轉(zhuǎn)到權(quán)限系統(tǒng)過后,再跳轉(zhuǎn)到本系統(tǒng)的時候,已經(jīng)獲取到了對應的 Token 信息,但是在 Set-Cookie 信息的時候,出現(xiàn)了一個警告。

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_https_08

警告的具體內(nèi)容為:

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_單點登錄_09

大致意思是:這次執(zhí)行 Set-Cookie 操作被阻止了,原因是這個 Cookie 不是通過安全的連接進行傳輸?shù)?,我們這次訪問確實使用了 HTTP 進行,本應該通過設(shè)置   Secure 屬性來覆蓋對應的 Cookie。

這里的 Secure 屬性是 Cookie 的一個屬性,Secure 屬性是說如果一個 Cookie 被設(shè)置了 Secure = true,那么這個 Cookie 只能用 HTTPS 協(xié)議發(fā)送給服務(wù)器,用 HTTP 協(xié)議是不發(fā)送的,而我們查看上面標注位置的下一個 Login 請求確實沒有傳 Cookie 信息,從而繼續(xù)進行用戶是否登錄校驗,進入死循環(huán)過程, 可以看下面的示意圖:

Cookie的secure屬性引起循環(huán)登錄問題分析及解決方案_cookie_10

五、清除瀏覽器緩存的底層原理及解決方法

5.1 清除瀏覽器緩存的底層原理

我們可以看到循環(huán)登錄以后,會在瀏覽器頁面上提示 xxx.x.y 重定向次數(shù)過多,嘗試清除 Cookie 信息,那清除 Cookie 信息以后,是不是真的就可以解決這個問題呢,我們嘗試著清除瀏覽器緩存,確實可以解決這個問題,那清除瀏覽器緩存來解決循環(huán)登錄問題的底層原理是什么呢,其實質(zhì)就是將 Cookie 刪除,其他域名設(shè)置 Cookie 上的 Secure 屬性也就一并刪除了,從而使用 HTTP 域名進入重新登錄流程,可以正常設(shè)置 Cookie 信息。

5.2 其他解決辦法

方法一:使用 HTTPS 的方式進行訪問
現(xiàn)實使用中,我們無法控制其他 HTTPS 訪問的具有相同頂級域名的服務(wù)不去設(shè)置 Cookie 的 Secure 屬性,因而我們在后面使用的過程中還是會遇到這個問題,那么有沒有一種徹底的解決辦法能夠避免這個問題再次出現(xiàn),我們前面已經(jīng)分析,之所以我們在開始使用 HTTP 能夠進行正常訪問,然后突然間不能正常訪問了,就是因為已經(jīng)被 HTTPS 設(shè)置了的 Cookie 信息是無法被 HTTP 重新設(shè)置的,從而拿不到 Cookie 信息。那么就出現(xiàn)了第一種解決辦法,使用 HTTPS 的方式進行訪問,即使其他服務(wù)設(shè)置了 Cookie 的 Secure 屬性,用 HTTPS 仍然能夠成功設(shè)置 Cookie 和獲取 Cookie。

方法二:在 Cookie 信息中新設(shè)置一個 newToken
以上從 HTTP 轉(zhuǎn)為 HTTPS 訪問的方法在用戶主動找我們反饋時是能夠告訴它切換為 HTTPS 訪問的,但是如果對于一些沒有主動找我們反饋的用戶,其實是無法解決,可能喪失這個用戶造成用戶流失的情況,那么我們在用戶不進行切換的情況下是否能夠解決這個問題。

同一個公司內(nèi)部接入的權(quán)限系統(tǒng)是一種底層公共能力,為了保證單點登錄,其實用戶信息的讀取都是通過同一個 Cookie 參數(shù)(比如叫 Token )讀取的,那么在其他域名設(shè)置了公共 Cookie 參數(shù)的 Secure 屬性而影響到 HTTP 登錄的時候,我們可以給服務(wù)新增加一個 Cookie 參數(shù) newToken 去解決。

六、擴展: Cookie 的端口不隔離性

本文所闡述的問題,出現(xiàn)的背景是有兩個基本前提的:一是為了保證單點登錄,兩個域名屬于同一個頂級域名,權(quán)限系統(tǒng)中關(guān)于用戶信息的校驗都是通過同一個 Cookie 屬性去讀取的;第二個是 HTTPS 設(shè)置了頂級域名的 Cookie 信息的 Secure 屬性,然后使用 HTTP 訪問會導致循環(huán)登錄。有些開發(fā)者可能會有這樣一個疑問,那就是 HTTPS 我們一般開通的端口是 443 , HTTP 我們一般開通的端口是 8080 ,為啥不從端口上進行區(qū)分同一個 Cookie 屬性從而避免干擾呢?

這個在 Cookie 規(guī)范(RFC 6265)中有所描述,那就是 Cookie 不提供通過端口進行隔離的,也就是說如果一個 Cookie 可以被一臺服務(wù)器上的運行在某一個端口上的一個服務(wù)所讀取,那么也可以被這臺服務(wù)器上運行在另外一個端口上的服務(wù)所讀取;如果一個 Cookie 可以被一臺服務(wù)器上的運行在某一個端口上的一個服務(wù)所寫入,那么也可以被這臺服務(wù)器上運行在另外一個端口上的服務(wù)所寫入。

七、總結(jié)

單點登錄作為公共組件,在各個公司內(nèi)部被各個系統(tǒng)所廣泛使用,但是在使用過程中我們會遇到各種各樣的問題,其中循環(huán)登錄問題就是一個比較經(jīng)典的問題。本文主要分析單點登錄和權(quán)限系統(tǒng)設(shè)計的基本原理,然后結(jié)合實際案例來分析循環(huán)登錄的原因,并給出具體的解決辦法。

本文從實際開發(fā)過程中遇到的循環(huán)登錄問題入手,分析了由于設(shè)置 Secure 屬性導致使用 HTTP 訪問網(wǎng)頁無法保存 Cookie 信息從而導致循環(huán)登錄的根本原因,也給出了其他兩個解決此種問題的方案,對于其他開發(fā)人員解決權(quán)限系統(tǒng)循環(huán)登錄問題具有一定的借鑒意義。

到此這篇關(guān)于Cookie的secure屬性引起單點登錄中的循環(huán)登錄問題的文章就介紹到這了,更多相關(guān)單點登錄中的循環(huán)登錄內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論