摘要：

本文主要介紹了利用webservice,session,cookie技術(shù)，來進(jìn)行通用的單點(diǎn)登錄系統(tǒng)的分析與設(shè)計(jì)。具體實(shí)現(xiàn)語言為PHP。單點(diǎn)

登錄，英文名為Single Sign On，簡稱為

SSO，是目前企業(yè)，網(wǎng)絡(luò)業(yè)務(wù)的用戶綜合處理的重要組成部分。而SSO的定義，是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登陸一次就可以訪問所有相互信任的應(yīng)用系

統(tǒng)。

動(dòng)機(jī)：

用過ucenter的全站登錄方式的朋友，應(yīng)該都知道這是典型的觀察者模式的解決方案。用戶中心作為subject,

其所屬observer的注冊和刪除統(tǒng)一在ucenter的后臺進(jìn)行。而各個(gè)子應(yīng)用站點(diǎn)都對應(yīng)一個(gè)observer。每次用戶中心的登錄動(dòng)作，都會(huì)觸發(fā)

js腳本回調(diào)w3c標(biāo)準(zhǔn)的子站登錄接口(api/uc.php)。

這種方式的缺點(diǎn)，本人認(rèn)為主要是兩點(diǎn)：1.

子站點(diǎn)過多時(shí)，回調(diào)接口相應(yīng)增多，這個(gè)在分布子站的量的限制上，如何控制來使登錄效率不會(huì)太低，不好把握; 2.

當(dāng)某個(gè)子站回調(diào)接口出現(xiàn)問題時(shí)，默認(rèn)的登錄過程會(huì)卡住(可以限制登錄程序的執(zhí)行時(shí)間，但相應(yīng)出現(xiàn)問題子站后面的子站的回調(diào)接口就調(diào)不到了。

基于以上問題，在實(shí)際開發(fā)過程中，本人設(shè)計(jì)了另一套單點(diǎn)登錄系統(tǒng)。

一. 登陸原理說明

單點(diǎn)登錄的技術(shù)實(shí)現(xiàn)機(jī)制：當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時(shí)候，因?yàn)檫€沒有登錄，會(huì)被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄;根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗(yàn)，如果通過效驗(yàn)，應(yīng)該返回給用戶一個(gè)認(rèn)證的憑據(jù)--ticket;用戶再訪問別的應(yīng)用的時(shí)候，就會(huì)將這個(gè)ticket帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請求之后會(huì)把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查ticket的合法性。如果通過效驗(yàn)，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。

可以看出，要實(shí)現(xiàn)SSO，需要以下主要的功能：

a) 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng);

b) 所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息;

c) 應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶，能自動(dòng)判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能

基于以上基本原則，本人用php語言設(shè)計(jì)了一套單點(diǎn)登錄系統(tǒng)的程序，目前已投入正式生成服務(wù)器運(yùn)行。本系統(tǒng)程序，將ticket信息以全系統(tǒng)唯一的

session id作為媒介，從而獲取當(dāng)前在線用戶的全站信息(登陸狀態(tài)信息及其他需要處理的用戶全站信息)。

二. 過程說明：

登陸流程:

1. 第一次登陸某個(gè)站：

a) 用戶輸入用戶名+密碼,向用戶驗(yàn)證中心發(fā)送登錄請求

b)

當(dāng)前登錄站點(diǎn)，通過webservice請求,用戶驗(yàn)證中心驗(yàn)證用戶名，密碼的合法性。如果驗(yàn)證通過，則生成ticket，用于標(biāo)識當(dāng)前會(huì)話的用戶，并將當(dāng)前登陸子站的站點(diǎn)標(biāo)識符記錄到用戶中心，最后

c) 將獲取的用戶數(shù)據(jù)和ticket返回給子站。如果驗(yàn)證不通過，則返回相應(yīng)的錯(cuò)誤狀態(tài)碼。

d)

根據(jù)上一步的webservice請求返回的結(jié)果，當(dāng)前子站對用戶進(jìn)行登陸處理：如狀態(tài)碼表示成功的話，則當(dāng)前站點(diǎn)通過本站cookie保存ticket，并本站記錄用戶的登錄狀態(tài)。狀態(tài)碼表示失敗的話，則給用戶相應(yīng)的登錄失敗提示。

2. 登陸狀態(tài)下，用戶轉(zhuǎn)到另一子：

a)

千鋒PHP通過本站cookie或session驗(yàn)證用戶的登錄狀態(tài)：如驗(yàn)證通過，進(jìn)入正常本站處理程序;否則戶中心驗(yàn)證用戶的登錄狀態(tài)(發(fā)送ticket到用戶驗(yàn)證中心)，如驗(yàn)證通過，則對返回的用戶信息進(jìn)行本地的登錄處理，否則表明用戶未登錄。

登出流程

a) 當(dāng)前登出站清除用戶本站的登錄狀態(tài) 和 本地保存的用戶全站唯一的隨機(jī)id

b)

通過webservice接口，清除全站記錄的全站唯一的隨機(jī)id。webservice接口會(huì)返回，登出其他已登錄子站的javascript代碼，本站輸出此代碼。

c) js代碼訪問相應(yīng)站W(wǎng)3C標(biāo)準(zhǔn)的登出腳本

三. 代碼說明：

本文所涉及到相關(guān)代碼，已打包上傳，如有興趣，可在本文最后下載鏈接處點(diǎn)擊下載。

1. 登陸流程：

用戶從打開瀏覽器開始，第一個(gè)登陸的子站點(diǎn)，必須調(diào)用UClientSSO::loginSSO()方法。該方法返回全站唯一的隨機(jī)id用于標(biāo)識該用戶。該隨機(jī)id在UClientSSO::loginSSO()中已通過本站cookie保存，即該子站點(diǎn)保留了用戶已登陸標(biāo)識的存根于本站。

a) UClientSSO::loginSSO()方法如下：