单点登录简单实现[PHP]

原创
2014/04/03 18:19
阅读数 2.7W

    先说一下这样做的好处吧,先来三个屌丝域名:

    www.openpoor.com

    myspace.openpoor.com

    passport.openpoor.com

 大家都知道,虽然他们都是一个域名但主机名不同,依然不能共享cookie(没有设置到域名.openpoor.com),这就导致用户在这些域名之间切换的时候需要重新登录,这是不能忍受的,所以需要同步登录;

    先来讨论一下为什么要多个域名吧,我认为应该有一下几个好处;


  1. 功能明确;
  2. 主机名也等于一个参数,在当前restfull,短链接盛行的情况下,还是很有用的;
  3. 便于负载均衡,功能分配;

对于第三点在一些复杂业务逻辑下是非常有用的,当某些功能只能负载到一些特定的主机上时,例如静态文件,大量存储的图片,特别是及时生成的文件等等;

进入正题,能够同步登录,就需要让用户的浏览器记录每个域名的cookie,那么必须要让浏览器请求一次这些主机,方法很简单在页面中加入其他域名的链接如<script type="text/javascript" src="http://otherdomain"></script>一些浏览器默认不接受第三方的cookie写入,必须添加P3P HTTP header 来尝试(当然并不一定有效);

   我简单做了一个demo,加密使用des;编辑/etc/hosts文件添加    


127.0.0.1       passport.openpoor.com
127.0.0.1       www.openpoor.com
127.0.0.1       myspace.openpoor.com

passport.openpoor.com主要做的事情就是通知其实主机写入cookie;


首先是index.php


<?php
session_start();
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>sync login</title>
</head>
<body>

<?php if(empty($_SESSION['username'])):?>
hello,游客;请先<a href="login.php">登录</a>
<?php else: ?>
hello,<?php echo $_SESSION['username']; ?>;<a href="http://myspace.openpoor.com/synclogin/index.php">进入空间</a>
<?php endif; ?>
&nbsp; <a href="http://www.openpoor.com/synclogin/index.php">home</a>
</body>
</html>

然后是login.php


<?php
session_start();
if(!empty($_POST['username'])){
  require __DIR__.'/Des.php';
  $_SESSION['username'] = $_POST['username'];
  $redirect = 'http://www.openpoor.com/synclogin/index.php';
  header('Location:http://passport.openpoor.com/synclogin/sync.php?redirect='.urlencode($redirect).'&code='.Des::encrypt($_POST['username'],'openpoor'));exit;
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>sync login</title>
</head>
<body>
<form action="" method="post">
  <input type="text" name="username" placeholder="用户名"/>
  <input type="text" name="password" placeholder="密码"/>
  <input type="submit" value="登录"/>
</form>
</body>
</html>

这里没有做什么检查,用户登录成功之后,跳转http://passport.openpoor.com/synclogin/sync.php需要什么信息就可以自己添加,这里仅仅传递加密后的用户名(这里的加密是必须的,https就不说了);

在来看看sync.php做了什么

<?php
$redirect = empty($_GET['redirect']) ? 'www.openpoor.com' : $_GET['redirect'];
if(empty($_GET['code'])){  
  header('Loaction:http://'.urldecode($redirect));
  exit;
}

$apps = array(
  'myspace.openpoor.com/synclogin/slogin.php'
);
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<?php foreach($apps as $v): ?>
<script type="text/javascript" src="http://<?php echo $v.'?code='.$_GET['code'] ?>"></script>
<?php endforeach; ?>
<title>passport</title>
</head>
<body>
<script type="text/javascript">
window.onload=function(){
  location.replace('<?php echo $redirect; ?>');
}
</script>
</body>
</html>



passport.openpoor.com,请求所有的主机写入cookie,在页面加载完成之后跳转回去;

最后一个slogin.php是每个需要同步登录的域名都需要的用户写入cookie;

<?php
session_start();
header('Content-Type:text/javascript; charset=utf-8');
if(!empty($_GET['code'])){
  require __DIR__.'/Des.php';
  $username = Des::decrypt($_GET['code'],'openpoor');
  if(!empty($username)){
    header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');
    $_SESSION['username'] = $username;
  }
}
echo "function _(){window.status='ok';}";//这里只是随便返回



这里分享的都是极简的功能代码,仅仅是描述实现;

最后也分享一下Des.php虽说现在Aes才是最安全的,这里只是简单说明一下;

<?php
/**
 *@see Yii CSecurityManager;
 */
class Des{

  public static function encrypt($data,$key){
      $module=mcrypt_module_open('des','', MCRYPT_MODE_CBC,'');
      $key=substr(md5($key),0,mcrypt_enc_get_key_size($module));
      srand();
      $iv=mcrypt_create_iv(mcrypt_enc_get_iv_size($module), MCRYPT_RAND);
      mcrypt_generic_init($module,$key,$iv);
      $encrypted=$iv.mcrypt_generic($module,$data);
      mcrypt_generic_deinit($module);
      mcrypt_module_close($module);
      return md5($data).'_'.base64_encode($encrypted);
  }
  
  public static function decrypt($data,$key){    
      $_data = explode('_',$data,2);
      if(count($_data)<2){
	return false;
      }
      $data = base64_decode($_data[1]);      
      $module=mcrypt_module_open('des','', MCRYPT_MODE_CBC,'');
      $key=substr(md5($key),0,mcrypt_enc_get_key_size($module));
      $ivSize=mcrypt_enc_get_iv_size($module);
      $iv=substr($data,0,$ivSize);
      mcrypt_generic_init($module,$key,$iv);
      $decrypted=mdecrypt_generic($module,substr($data,$ivSize,strlen($data)));
      mcrypt_generic_deinit($module);
      mcrypt_module_close($module);
      $decrypted = rtrim($decrypted,"\0");       
      if($_data[0]!=md5($decrypted)){
	return false;
      }
      return $decrypted;
  }
  
}

有什么不足之处,还望斧正,我在ubuntu下测试可以,chromium浏览器;ucenter实现原理基本就是这样,我参考了一下,呵呵

PS:这种做法在域名过多之后登陆效率会明显下降,如果是同一个域名(如openpoor.com)则不需要以上方法,上面的几个测试域名其实是不需要这样做的,只需要在写入cookie时指定domain即可,当然多个主机(如w1.openpoor.com,w2.openpoor.com)需要拥有相同的cookie验证策略





展开阅读全文
打赏
4
17 收藏
分享
加载中
26
2016/08/12 16:48
回复
举报
感谢分享
2016/04/13 17:08
回复
举报
xilei博主

引用来自“hunanjun000”的评论

cookie里没有数据啊????passport.openpoor.com,请求所有的主机写入cookie,在页面加载完成之后跳转回去;???这里是如何写入的??
在用户浏览器请求passport.openpoor.com得到的html数据里添加了到其他域名的链接(这里是script),其他域名在这个链接请求写入了cookie(就是第三方cookie)
2014/07/16 19:28
回复
举报
cookie里没有数据啊????passport.openpoor.com,请求所有的主机写入cookie,在页面加载完成之后跳转回去;???这里是如何写入的??
2014/07/16 11:17
回复
举报
更多评论
打赏
4 评论
17 收藏
4
分享
返回顶部
顶部