Single Sign On

5. 不同域之众的两个应用之间的SSO

　　至此为止我们成功地创建了共享的验证Cookie，但如果Foo和Bar位于不同的域——http://foo.com和http://bar.com——中呢？它们不可能共享Cookie，也不能彼此创建第二Cookie。这种情况下，每个站点需要创建自己的Cookies，并调用其他站点来验证用户是否已经在别处登录了。完成这一工作的一种方法就是通过一些列的重定向。

　　为了实现这一目的，我们分别在两个Web站点中都创建一个特殊的页面（我们称之为sso.aspx）。这个页面的目的就是检查其域中是否存在Cookie，并返回登录的用户名，这样其他应用可以在对应的域中创建类似的Cookie。下面是来自Bar.com的sso.aspx：

<%@ Page Language="C#" %> 


<script language="C#" runat="server"> 



void Page_Load() 

{ 

    // this is our caller, we will need to redirect back to it eventually 

    UriBuilder uri = new UriBuilder(Request.UrlReferrer); 


    HttpCookie c = HttpContext.Current.Request.Cookies[".BarAuth"]; 


    if (c != null && c.HasKeys) // the cookie exists! 

    { 

        try 

        { 

            string cookie = HttpContext.Current.Server.UrlDecode(c.Value); 

            FormsAuthenticationTicket fat = FormsAuthentication.Decrypt(cookie);         


            uri.Query = uri.Query + "&ssoauth=" + fat.Name; // add logged-in user name to the query 

        } 

        catch 

        { 

        } 

    } 

    Response.Redirect(uri.ToString()); // redirect back to the caller 

} 


</script> 

　　这个页面总是会重定向回调用方。如果Bar.com中存在验证Cookie，会解密用户名并通过查询字符串中的ssoauth参数返回。

　　在另外一端（Foo.com），我们需要像http请求处理流水线中插入一些代码。可以在Application_BeginRequest事件中或者在一个自定义的HttpHandler或HttpModule中。其用意在于在所有的页面请求的尽可能早的地方检验验证Cookie是否存在：

1) 如果Foo.com中存在验证Cookie，继续处理请求。此时用户已登录Foo.com
2) 如果验证Cookie不存在，重定向到Bar.com/sso.aspx
3) 如果当前请求从Bar.com/sso.aspx重定向回来，分析ssoauth参数并在必要时创建验证Cookie。

　　这看起来相当简单，但要注意无限循环：

// see if the user is logged in 

HttpCookie c = HttpContext.Current.Request.Cookies[".FooAuth"]; 


if (c != null && c.HasKeys) // the cookie exists! 

{ 

    try 

    { 

        string cookie = HttpContext.Current.Server.UrlDecode(c.Value); 

        FormsAuthenticationTicket fat = FormsAuthentication.Decrypt(cookie); 

        return; // cookie decrypts successfully, continue processing the page 

    } 

    catch 

    { 

    } 

} 


// the authentication cookie doesn't exist - ask Bar.com if the user is logged in there 

UriBuilder uri = new UriBuilder(Request.UrlReferrer); 


if (uri.Host != "bar.com" || uri.Path != "/sso.aspx") // prevent infinite loop 

{ 

    Response.Redirect(http://bar.com/sso.aspx); 

} 

else 

{ 

    // we are here because the request we are processing is actually a response from bar.com 


    if (Request.QueryString["ssoauth"] == null) 

    { 

        // Bar.com also didn't have the authentication cookie 

        return; // continue normally, this user is not logged-in 

    } else 

    { 


        // user is logged in to Bar.com and we got his name! 

        string userName = (string)Request.QueryString["ssoauth"]; 


        // let's create a cookie with the same name 

        FormsAuthenticationTicket fat = new FormsAuthenticationTicket(1, userName, DateTime.Now, DateTime.Now.AddYears(1), true, ""); 

        HttpCookie cookie = new HttpCookie(".FooAuth"); 

        cookie.Value = FormsAuthentication.Encrypt(fat); 

        cookie.Expires = fat.Expiration; 

        HttpContext.Current.Response.Cookies.Add(cookie); 

    } 

} 

　　两个站点都同样需要这段代码，但要在每个站点中使用正确的Cookie名字（.FooAuth vs. .BarAuth）。由于实际上并没有共享Cookie，所以应用程序可以具有不同的<machineKey>元素。无需同步加密和验证密钥。

　　很多人可能比较担心在查询字符串中传递用户名所带来的安全隐患。很多方法可以对其进行保护。首先，要检查引用方，不接受来自任何源的ssoauth参数，但除了bar.com/sso.asp（或foo.com/sso.aspx）。其次，可以很容易地使用共享密钥对用户名进行加密。如果Foo和Bar使用了不同的验证机制，也可以用类似的方式传递用户的附加信息（例如email地址）。

6. 混合模式验证（Forms和Windows）中的SSO

　　到现在为止，我们一直在处理Forms验证的情况。但如果我们希望对于Internet用户首先采用Forms验证，如果验证失败，再检查是否是NT域中的Intranet用户并进行验证。理论上，我们可以通过下面的参数来检查是否与请求关联了一个Windows已登录用户：

Request.ServerVariables["LOGON_USER"] 

　　然而，除非站点禁用了匿名访问，否则该值一直为空。我们可以在IIS控制面板中禁用匿名访问，并启用集成Windows验证。这样LOGON_USER值中将包含已登录的Intranet用户的NT域名。但是所有的Internet用户将面临Windows用户名和密码的挑战。这不爽。我们希望Internet用户可以通过Forms验证进行登录，而当失败的时候再检测其Windows域凭证。

　　解决这一问题的一个方法是，为Intranet用户提供一个特殊的入口页，在这里启用集成Windows验证，验证域用户，然后创建一个Forms Cookie并导航到主站点。我们甚至可以通过Server.Transfer来隐藏Intranet用户访问了不同的页面这一事实。

　　还有一种简单的解决方案。因为IIS处理验证过程，如果一个Web站点启用了匿名访问，IIS会将请求正确地传递给ASP.NET 运行时。它不会尝试执行任何类型的验证。然而，如果请求的结果是一个验证错误（401），IIS会尝试特定于该站点的另外一种验证方法。你可以同时启用匿名访问和集成Windows验证，然后再Forms验证失败后执行下面的代码：

if (System.Web.HttpContext.Current.Request.ServerVariables["LOGON_USER"] == "") { 

    System.Web.HttpContext.Current.Response.StatusCode = 401; 

    System.Web.HttpContext.Current.Response.End(); 

} 

else 

{ 

    // Request.ServerVariables["LOGON_USER"] has a valid domain user now! 

} 

　　这段代码执行时，会首先检测域用户并得到一个空的字符串。然后它会终止当前请求并向IIS返回验证错误（401）。这将导致IIS使用另外一种验证机制，在这种情况下是集成Windows验证。如果用户已经登录到域，请求会被重复一次，此时会填充NT域用户信息。如果用户没有登录到域，他将有三次机会输入Windows用户名/密码。如果用户无法在三次尝试之内完成

转自:http://www.cnblogs.com/AndersLiu/archive/2007/06/20/790894.html