您好,欢迎来到三六零分类信息网!老站,搜索引擎当天收录,欢迎发信息
免费发信息
三六零分类信息网 > 葫芦岛分类信息网,免费分类信息发布

Sina SSO 登陆过程分析

2024/7/21 4:57:15发布110次查看
近日研究了 sina cas 的登陆过程,发现其实 sina 的 sso 实现了 yale-cas 并且添加一丁点新的东西,基本认证过程交互流程仍然未变。其独创的一点是实现了 ajax 单点登陆,算是比较牛。实现原理是 iframe+ javascript 回调函数。
一,初级 sso
初级的 sso ,就是在同一个顶级域名下,通过种入顶级域名的 cookie ,来实现统一登陆。例如:
单点登陆地址: sso.xxx.com/login.jsp
应用 1 : web1.xxx.com/login.jsp
应用 2 : web2.xxx.com/login.jsp
应用 3 : web3.xxx.com/login.jsp
登陆流程:
情况一:(用户从未登陆)
1,  用户访问 web1.xxx.com/login.jsp , web1 重定向到 sso.xxx.com/login.jsp
2,  用户输入验证,成功。 sso.xxx.com 种入 .xxx.com 域 cookie 的 tokenid ,重定向到 web1.xxx.com/login.jsp, web1.xxx.com 访问 .xxx.com 域 cookie 的 tokenid 判断出已经登陆,系统登陆完成。
情况二:(用户已经登陆)直接登陆。
二, sina sso
sina 实现了跨域名的统一登陆,本质也是基于 cookie 的。如果用户禁用 cookie ,那么无论如何也是登陆不了的。例如: sina sso 服务器是 login.sina.com.cn/sso/login.php
,微博登陆地址为 weibo.com/login.php 。通过回调函数和 iframe 实现了跨一级域名的登陆。
认证过程具体流程:这里只介绍用户从未登陆过。
1,  用户进入 weibo.com/login.php
2,  用户输入用户名称。输入完毕后,当用户名输入框焦点失去的时候,页码通过 ajax 向服务器login.sina.com.cn/sso/prelogin.php 发送请求,参数为 user (刚刚输入的用户名)。服务返回 server time 和nonce 认证,通过回调函数写入到 javascript 变量中。
3,  用户输入密码,点击登陆,页面 post 请求(注意是 ajax 请求,并不是 login.php 发送的 ),
login.sina.com.cn/sso/login.php?client=ssologin.js(v1.3.12) ,请求的发起的页面是 weibo.com/login.php 中的一个不可见 iframe 页面,参数为第二步得到的 server time 和 nonce ,已经用户名称和加密的密码。返回种入cookie  tgt 在 login.sina.com.cn 下。同时修改 iframe 地址为 weibo.com/ajaxlogin.php?ticket=xxxxxx, 注意ticket 非常重要,这是用户登陆和服务的凭证。
4,  iframe 访问 weibo.com/ajaxlogin.php?ticket=xxxxxx ,用户登陆,返回种入 cookie 在 .weibo.com 下,记录用户登陆信息。
5,  通过 js 再次访问 weibo.com/login.php ,因为 cookie 已经写入,登陆成功,服务器发送 302 ,重定向到用户主页面。 weibo.com/userid 。
6,  至此,登陆过程完成。
重点:交互过程和密码加密算法分析。
葫芦岛分类信息网,免费分类信息发布

VIP推荐

免费发布信息,免费发布B2B信息网站平台 - 三六零分类信息网 沪ICP备09012988号-2
企业名录