关于web端的单点登录实践

问题：

 假设现在有4个域名，www.a.com，www.b.com，www.c.com，www.d.com，在a.com这个域内登录了，不种其他3个域名的cookie，如果用户输入其他的三个域的时候，也能保证用户在不输入用户名和密码的时候也能登录

说在前面的话：

1）在web端登录和未登录：使特定的cookie的值生效/失效，这个特定，就是你所制定的规则。

2）问题的关键：如何获得cookie的值，就获得了帐号的通行证，就可以登录了，然后就是做你想做的事情了。比如修改，删除资料，修改密码，做你想做的任何事情，总之，你控制了这个帐号了。

分析：

1）在www.a.com 这域名下登录，我们可以将cookie设置在a.com这顶级域名上，如果这个域的子域，比如1.a.com，2.a.com都能取到这个域的cookie的，都能登录，不存在不能登录

2）在a.com这个域名下登录了，如何在b.com,c.com,d.com这个域名下获得a.com的cookie的值，只要获得a.com这个域下的该用户的cookie的值就可以了。

如何取得cookie呢？我们做了以下思考：

1.跨域取cookie，这个是安全的吗？refer可以伪造吗，有那些方式？

2.跨域请求是否能获得header的内容？

3.跨域post提交（iframe+post）是否能获得iframe里面的内容？

现在我们看看上面3个问题：

1.跨域,我们这里思考，采用loadJsonp的形式，这个是安全的吗，loadjsonp对外都是静态的，我们可以看，别人也可以看，不同的是我电脑和浏览器的状态，基于这个考虑，我们限制了referrer,即来源，

这个可以挡住一部分，但是这个是可以伪造吗？查阅了相关资料，前端没有办法伪造，但是可以为空，在这个问题上，我们限制了referrer不为空，并且在我们的白名单里面就可以了。

2.是否能获得header的内容,我们知道loadJsonp是通过创建script标签来获取数据的，因此肯定不能获得header头信息的，ajax是可以的，只要设置 type: 'HEAD', 就可以获得头信息，但是ajax是不能跨域的，

因为我们排除了跨域获得header的可能性

3.由于安全沙箱的限制，iframe里面如果不是本域的内容，肯定不能获取得到。

基于以上考虑，我们就采取了loadjsonp+限制referrer的形式来跨域获得cookie，获取cookie后，我们就往本域的根目录写入，然后就可以在本域内实现登录。而不涉及到其他域的cookie问题。

方案实施：

方案1：提供通用js, 通过设置基准域名cookie（例如www.a.com）, 其它业务均从基准域名获取cookie的方式，来获取登录状态。

登录时设置两个基准域和当前域下的cookie，其它业务需要时再拉取基准域名cookie来设置自身cookie。 

此方案存在的问题：

需要加载js，只能在页面加载完js到浏览器后才能执行，设置本域cookie, 需要再次刷新页面才能是登录状态。

业务方的页面有二种情况不能用这种方案：

1.登录后才能访问，一般会在后端判断用户是否未登录，然后直接跳转到登录页面，

2. 不登录也能访问，可是是否登录决定页面的部分显示数据(通用js自动登录后刷新本页面可以得到效果，但是用户体验差)。

此方案比较适合页面无需登录也能访问，并且登录后页面效果没有变化的页面，静态页面比较适合这种情况。

由于要检测当前域是否是登录状态，然后要请求基准域，并且设置本域cookie，对基准域本身的服务压力大，几乎是业务方的所有pv*n

方案2: 提供通用登录js, 每次需要用户输入用户名，密码之前，先去基准域名获取登录状态，如果是已经登录，就显示：已检测到已登录用户：XXX， 点击直接登录或者换其他账号登录，

此方案存在的问题：

不是通常意义的单点登录，只是缩短了用户登录的流程，减少代价

优点：

不用业务方每个页面都部署，对业务方完全透明；

对基准域的请求压力不大；

就算在目前轮询的事情下，也存在单域cookie失效导致用户未登录的情况，通过这种方式也能改善用户体验；

安全风险：

目前所有域下都是用的同一个cookie, 任何一个也没如果出现xss漏洞，都会导致用户cookie泄露，安全完全不可控， 单点登录会扩散这种风险。

参考文章：http://developer.51cto.com/art/201104/255729.htm

欢迎大家拍砖。谢谢！！