Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же.
Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) исползуя одно и то же имя и пароль.
Это достигается существованием сайта-координатора (Директория) который занет какой пользователь имеет доступ к какой инстанции, предоставляет сводную информацию со всех инстанций пользователей, синхронизирует изменения в профиле пользователя со всеми инстанциями.
Так как сайты представляют собой разные приложения, то у них разные сессии (сделать шаред сессию не предлагать -- поломается все нафик). Так что если пользователь залогинен на сайте1, то на сайте2 ему нужно все равно вводить пароль для входа. Вот это-то и бесит пользователей.
Появилась задача: если пользователь залогинен на одном из сайтов, то его нужно автоматически логинить и на все остальные инстанции. Как только все сессии на всех сайтах истекут, его нужно кидать на логин.
Возможно эта ситуация уже имеет стандартное решение (что-то типа OpenID). Было бы очень здорово.
Если нет, то идем дальше:
Директория спокойно может предоставлять любой инстанции информацию о том что конкретный пользователь уже залогинился в системе (это не сложно).
Сложно определить какой именно пользователь пытается попасть на инстанцию (если это узнать, то дальше дело техники).
Т.е. основная задача с которой я пришел на форум: как определить что на инстанцию заходит юзер который уже залогинился на другой?
Или в технических терминах: как определить что на инстанцию обращается браузер из которого уже был логин в систему?
Мои мысли: Нужно как-то идентефицировать браузер юзера.
1) Можно было бы использовать куки, но дело в том, что у каждого сайта свой собственный домен: у дериктории -- directory.com, у инстанций -- somecompany.directory.com, othercompany.directory.com, ...
2) Можно было бы потребовать перехода по всем инстанциям один раз чтобы в куки легла информация о пользователе, но это дыра в безопастности.
3) Можно было бы использовать IP для маппинга, но IP может быть один и тот же для группы пользователей
...
n) в общем ищется некий ID браузера
Кое-какие мысли возникли по этому пункту: A>1) Можно было бы использовать куки, но дело в том, что у каждого сайта свой собственный домен: у дериктории -- directory.com, у инстанций -- somecompany.directory.com, othercompany.directory.com, ...
Итак, cookie является частью HTTP заголовка. Полное описание поля Set-Cookie HTTP заголовка:
Set-Cookie: NAME=VALUE; expires=DATE; path=PATH; domain=DOMAIN_NAME; secure
....
domain=DOMAIN_NAME — домен, для которого значение cookie действительно. Например, "domain=cit-forum.com". В этом случае значение cookie будет действительно и для домена cit-forum.com, и для www.cit-forum.com. Но не радуйтесь, указания двух последних периодов доменных имен хватает только для доменов иерархии "COM", "EDU", "NET", "ORG", "GOV", "MIL" и "INT". Для обсуждаемых сейчас новых семи доменов первого уровня ("FIRM", "SHOP", "WEB", "ARTS", "REC", "INFO", "NOM"), вероятно, это условие сохранится. Для доменов иерархии "RU", например, придется указывать три периода.
Если этот атрибут опущен, то по умолчанию используется доменное имя сервера, на котором было задано значение cookie.
Т.е. мысль такая, что для конкретной cookie можно явно установить домен, который будет соответствовать некоторму "общему" домену (directory.com), и соответственно такая кука должна передаваться в запросах ко всем доменам, которые являются "дочерними" для нашего "общего" домена (somecompany.directory.com, othercompany.directory.com).
Здравствуйте, Aikin, Вы писали: A>Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же. A>Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) исползуя одно и то же имя и пароль. A>Это достигается существованием сайта-координатора (Директория) который занет какой пользователь имеет доступ к какой инстанции, предоставляет сводную информацию со всех инстанций пользователей, синхронизирует изменения в профиле пользователя со всеми инстанциями.
A>Один момент: можно ли из support.contoso.com выставить куку для contoso.com? A>Иначе придеться все время логиниться из Директории. Что не так уж и плохо, но все же...
Совершенно нормально. Достаточно просто использовать Директорию для логина на всех сайтах.
То есть такой flow имеется в виду:
1. Заходим на application1.directory.com
2. Идем на защищенную страничку application1.directory.com/private
3. Обнаружив отсутствие сессии, страничка делает редирект на http://directory.com/login?returnUrl=application1.directory.com/private
4. Там пользователь указывает пароль и делает POST туда же
5. Форма логина отдает куки и редирект обратно на application1.directory.com/private
6. Теперь уже кука на месте, и страничка может авторизовать пользователя.
... << RSDN@Home 1.2.0 alpha rev. 677>>
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Sinclair, Вы писали:
A>>Иначе придеться все время логиниться из Директории. Что не так уж и плохо, но все же... S>Совершенно нормально. Достаточно просто использовать Директорию для логина на всех сайтах.
Вопрос не технического характера, а т.н. человеческий фактор: лезем на инстанцию, а нас кидают логиниться на директорию -- конфуз.
Хотя привыкнут. Куда они денутся
В любом случае это лучше чем постоянные логины-перелогины.
S>То есть такой flow имеется в виду:
Это понятно. Это стандартный flow
Здравствуйте, Aikin, Вы писали:
A>Один момент: можно ли из support.contoso.com выставить куку для contoso.com?
На 100% не уверен, но мне кажется что можно.
Если в теории, то надо посмотреть на RFC 2965 (вроде бы именно он актуален сейчас).
3.3.2 Rejecting Cookies
Правила там не совсем тривиальные но чуть ниже есть такой пример:
* A Set-Cookie2 from request-host x.foo.com for Domain=.foo.com
would be accepted.
Так что должно быть все нормально.
Еще по изначальной теме — можно покопать в сторону third-party cookies. Их зачастую используют для слежения за тем на какие сайты заходил пользователь.
Но, по-моему, их получится использовать и в наших мирных целях.
Здравствуйте, Овощ, Вы писали:
A>>Один момент: можно ли из support.contoso.com выставить куку для contoso.com? О>Правила там не совсем тривиальные но чуть ниже есть такой пример:
О>
О>* A Set-Cookie2 from request-host x.foo.com for Domain=.foo.com
О> would be accepted.
О>Так что должно быть все нормально.
Отлично.
О>Еще по изначальной теме — можно покопать в сторону third-party cookies. Их зачастую используют для слежения за тем на какие сайты заходил пользователь. О>Но, по-моему, их получится использовать и в наших мирных целях.
Не, это уж слишком
С решением определился.
Только вот вопрос: как это дело тестировать? Не на продакшене же
Тестовый сервер не имеет субдоменов: инстанции являются виртуальными каталогами
>Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же. >Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) используя одно и то же имя и пароль.
Ах да. Если ты пользуешься стандартной forms-аутентификацией, то делать-то тебе почти ничего не придется.
Достаточно во всех web-приложениях в субдоменах чуток подкорректировать web.config.
А именно задать корректный атрибут domain в елементе forms: forms Element for authentication (ASP.NET Settings Schema)
domain
Optional attribute. Specifies an optional domain to set on outgoing forms-authentication cookies. This setting takes precedence over the domain that is used in the httpCookies element.
This attribute is new in the .NET Framework version 2.0.
The default is an empty string ("").
Здравствуйте, Овощ, Вы писали:
О>Ах да. Если ты пользуешься стандартной forms-аутентификацией, то делать-то тебе почти ничего не придется. О>Достаточно во всех web-приложениях в субдоменах чуток подкорректировать web.config.
Супер!
Вот только сама Директория написана на монорельсах и использует свою собственную аутентефикацию. Прикрутить Forms чтоли?
Здравствуйте, Aikin, Вы писали:
A>С решением определился. A>Только вот вопрос: как это дело тестировать? Не на продакшене же A>Тестовый сервер не имеет субдоменов: инстанции являются виртуальными каталогами
Дык насоздавай сайтов с хидерами разными и каталогами разными, но на один порт; а в hosts на своей машине пропиши имена и IP. Я так делал.
Здравствуйте, denisio_mcp, Вы писали:
_>Здравствуйте, Aikin, Вы писали:
A>>С решением определился. A>>Только вот вопрос: как это дело тестировать? Не на продакшене же A>>Тестовый сервер не имеет субдоменов: инстанции являются виртуальными каталогами
_>Дык насоздавай сайтов с хидерами разными и каталогами разными, но на один порт; а в hosts на своей машине пропиши имена и IP. Я так делал.
А можно поподробнее?
Здравствуйте, Aikin, Вы писали: A>Вопрос не технического характера, а т.н. человеческий фактор: лезем на инстанцию, а нас кидают логиниться на директорию -- конфуз.
Никто этого не увидит. Обрати внимание, что у большинства современных порталов логин бегает по другому URL, чем основной сайт. Вот, к примеру, Live ID A>Хотя привыкнут. Куда они денутся
Главное, чтобы они доверяли корневому сайту.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Aikin, Вы писали:
_>>Дык насоздавай сайтов с хидерами разными и каталогами разными, но на один порт; а в hosts на своей машине пропиши имена и IP. Я так делал. A>А можно поподробнее?
Он имеет в виду, что у себя на локальной машине нужно найти файл C:\Windows\System32\Drivers\etc\hosts
И добавить в него записи вида
(Это если сервер поднят у тебя на машине. Если тестовый сервер расположен не у тебя, то укажи здесь его IP вместо loopback)
Ну а теперь на тестовом сервере создаешь виртуальные хосты, забинденные на IP:*, порт:80 и соответствующие host names.
Ничего страшного, что кроме тебя никто про эти домены знать не будет.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Aikin, Вы писали:
>Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же. >Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) исползуя одно и то же имя и пароль. >Это достигается существованием сайта-координатора (Директория) который занет какой пользователь имеет доступ к какой инстанции, предоставляет сводную информацию со всех инстанций пользователей, синхронизирует изменения в профиле пользователя со всеми инстанциями.
>Так как сайты представляют собой разные приложения, то у них разные сессии (сделать шаред сессию не предлагать -- поломается все нафик). Так что если пользователь залогинен на сайте1, то на сайте2 ему нужно все равно вводить пароль для входа. Вот это-то и бесит пользователей.
Мдя, у меня была похожая задача, только решение с куками не подходило принципиально — ибо сайты находились в разных доменах первого уровня (.ca, .com. net). Как сделалив итоге:
Вынесли форму авторизации в отдельное приложение. При заходе на сайт он редиректит на авторизацию, там проводится авторизация и браузер возвращается на исходный сайт вместе с токеном сессии. Затем этот токен кэшируется в куке, и при повторном заходе сервер через веб-сервис идёт на сервер авторизации и проверяет валидность токена. Если токен невалидный, то юзера отправляют на авторизацию, если валиден — ну тут и так понятно Сервер авторизации также кэширует токен, и при заходе на другой сайт проекта, будучи авторизованным на первом, приложение авторизации сразу отправляет юзера обратно с токеном.
Кстати, подобным образом работает всем известная Microsoft Passpost. По-моему, решение гораздо более надёжное и изящное, чем шаманство с куками, которое отвалится сразу же, как только возникнет необходимость накрыть SSO (Single Sign-On — так называются подобные системы) домен за пределами вашей доменной зоны...
Здравствуйте, koandrew, Вы писали:
K>Мдя, у меня была похожая задача, только решение с куками не подходило принципиально — ибо сайты находились в разных доменах первого уровня (.ca, .com. net). Как сделалив итоге:
K>Вынесли форму авторизации в отдельное приложение. При заходе на сайт он редиректит на авторизацию, там проводится авторизация и браузер возвращается на исходный сайт вместе с токеном сессии. Затем этот токен кэшируется в куке, и при повторном заходе сервер через веб-сервис идёт на сервер авторизации и проверяет валидность токена. Если токен невалидный, то юзера отправляют на авторизацию, если валиден — ну тут и так понятно Сервер авторизации также кэширует токен, и при заходе на другой сайт проекта, будучи авторизованным на первом, приложение авторизации сразу отправляет юзера обратно с токеном.
K>Кстати, подобным образом работает всем известная Microsoft Passpost. По-моему, решение гораздо более надёжное и изящное, чем шаманство с куками, которое отвалится сразу же, как только возникнет необходимость накрыть SSO (Single Sign-On — так называются подобные системы) домен за пределами вашей доменной зоны...
Что-то похожее сделано, кстати, в JA-SIG CAS (правда, это для Java). Видимо, это типичный способ реализации междоменного SSO.
Только для пущей безопасности там токен, выдаваемый сервису, одноразовый и генерируется специально для конкретного сервиса (т.е перехватив чужой токен в другой сервис не залогинишься от этого пользователя). После аутентикации на сервере CAS (который выдаёт юзеру безопасную куку, т.е она передаётся только по HTTPS), пользователя редиректят обратно на сервис с этим одноразовым токеном. Сервис запросом к серверу CAS (по HTTPS, таким образом проверяется аутентичность сервера CAS) проверяет токен (и токен автоматом становится невалидным, т.е перехватив токен повторно залогиниться с ним уже не удастся) и уже у себя в сессии сохраняет информацию о аутентичности пользователя.
Про hosts я знаю. S>Ну а теперь на тестовом сервере создаешь виртуальные хосты, забинденные на IP:*, порт:80 и соответствующие host names.
А вот про это нет Поразбираюсь, пасиб.
K>Вынесли форму авторизации в отдельное приложение. При заходе на сайт он редиректит на авторизацию, там проводится авторизация и браузер возвращается на исходный сайт вместе с токеном сессии. Затем этот токен кэшируется в куке, и при повторном заходе сервер через веб-сервис идёт на сервер авторизации и проверяет валидность токена. Если токен невалидный, то юзера отправляют на авторизацию, если валиден — ну тут и так понятно Сервер авторизации также кэширует токен, и при заходе на другой сайт проекта, будучи авторизованным на первом, приложение авторизации сразу отправляет юзера обратно с токеном.
Понятно! Большое спасибо. А я-то думал как, блин, определить, что это именно тот пользователь
А тут все просто: при редиректе на отдельную логин-страницу (одну на все домены), для нее будет доступна своя кука, по которой и будет идентефицирован пользователь... (Голова два уха )
K>По-моему, решение гораздо более надёжное и изящное, чем шаманство с куками, которое отвалится сразу же, как только возникнет необходимость накрыть SSO (Single Sign-On — так называются подобные системы) домен за пределами вашей доменной зоны...
В моем случае главное, что решение с куками добавляется правкой конфига. Домен же будет всегда один и тот же (99,9%)
Здравствуйте, Aikin, Вы писали:
S>>Ну а теперь на тестовом сервере создаешь виртуальные хосты, забинденные на IP:*, порт:80 и соответствующие host names.
У меня IIS 5.1 на XP pro. В котором нельзя создать больше одного вэб узла (витруального хоста). 3
На тестовом серваке можно это сделать, но не хотелось бы.
Здравствуйте, Aikin, Вы писали:
S>>>Ну а теперь на тестовом сервере создаешь виртуальные хосты, забинденные на IP:*, порт:80 и соответствующие host names. A>У меня IIS 5.1 на XP pro. В котором нельзя создать больше одного вэб узла (витруального хоста). 3
Нашел интересный исапи-фильтер: iis_multiplex который позволяет хостить несколько сайтов...
Но что-то какой-то он халявный (выдержка из инструкции по установки):
2.
Edit iis_multiplex_mappings.txt. The first line is the root that
the web server is set to. This would be where your normal document
root would be. The remaining lines are server names, and where the new
document root should be for those servers. For example, here's a
sample iis_multiplex_mappings.txt file:
----------------
c:\myroot\siteA
siteA.com c:\myroot\betterA
siteB.com c:\myroot\betterB
----------------
In this case, under the IIS properties, the 'Default Web Site's home
directory would be 'c:\myroot\siteA'. When someone goes to siteA.com,
documents would be served from c:\myroot\betterA instead, and when
they go to siteB.com, documents would be served from
c:\myroot\betterB.
Здравствуйте, Aikin, Вы писали:
A>Здравствуйте, Aikin, Вы писали:
S>>>>Ну а теперь на тестовом сервере создаешь виртуальные хосты, забинденные на IP:*, порт:80 и соответствующие host names. A>>У меня IIS 5.1 на XP pro. В котором нельзя создать больше одного вэб узла (витруального хоста). 3 A>Нашел интересный исапи-фильтер: iis_multiplex который позволяет хостить несколько сайтов...
Нифига не выходит. Статический контент он сервит нормально, а вот динамический нет. Видимо не может предоставить asp.net-фильтру (aspnet_filter.dll) нужную информацию. А жаль
Здравствуйте, Aikin, Вы писали: A>У меня IIS 5.1 на XP pro. В котором нельзя создать больше одного вэб узла (витруального хоста).
Придется разжиться Windows Server. Ну или Apache
... << RSDN@Home 1.2.0 alpha rev. 677>>
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Sinclair, Вы писали:
S>Здравствуйте, Aikin, Вы писали: A>>У меня IIS 5.1 на XP pro. В котором нельзя создать больше одного вэб узла (витруального хоста). S>Придется разжиться Windows Server. Ну или Apache
Так они есть Тестовый в нашей конторе и тестовый у заказчика.
Но хотелось бы у меня на рабочей машинке (апачу ставить не хочу )
Здравствуйте, Aikin, Вы писали: A>Но хотелось бы у меня на рабочей машинке (апачу ставить не хочу )
Ну вот поэтому true web developers работают на Win2k8Server
А те, кто хочет быть белым и пушистым, поднимают win2k8 в VMWare.
... << RSDN@Home 1.2.0 alpha rev. 677>>
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Aikin, Вы писали:
A>В моем случае главное, что решение с куками добавляется правкой конфига. Домен же будет всегда один и тот же (99,9%)
Может быть, но есть очень серьёзная вероятность, что в тот момент, когда такая необходимость таки возникнет, ты не вспомнишь об этом допущении, и в итоге некоторое время в дебаггере для тебя и потоки мата с твоего рабочего места для окружающих обеспечены...
Здравствуйте, koandrew, Вы писали:
A>>В моем случае главное, что решение с куками добавляется правкой конфига. Домен же будет всегда один и тот же (99,9%) K>Может быть, но есть очень серьёзная вероятность, что в тот момент, когда такая необходимость таки возникнет, ты не вспомнишь об этом допущении, и в итоге некоторое время в дебаггере для тебя и потоки мата с твоего рабочего места для окружающих обеспечены...
Думаю, такого не будет. Что я уже не замечу что кука идет на общий домен?
При настройке инстанции адаптируется для нее конфиг...
Здравствуйте, Овощ, Вы писали:
>>Есть набор одинаковых вэб приложений (20+ штук). Кажый сайт принадлежит отдельной компании, но пользователи на них одни и те же. >>Вернее даже не так: один и тот же пользователь может иметь доступ к разным инстанциям (приложениям) используя одно и то же имя и пароль.
Забабахал Все работает как часы.
Единственное что, нужно было еще добавить machineKey:
Здравствуйте, Aikin, Вы писали:
A>Вот интересно, как генерить эти ключи? A>Я использовал метод слепого письма: "sdflsdklvcjxvjxkcjvlkxzcjvepdrdsp"? но по цифрам
1) В IIS7 в панели управления вроде видел что то подобное
Здравствуйте, Aikin, Вы писали:
A>Единственное что, нужно было еще добавить machineKey: A>
A> <machineKey
A> validationKey="C50B3C89CB21F4F1422FF158A5B42D0E8DB8CB5CDA1742572A487D9401E3400267682B202B746511891C1BAF47F8D25C07F6C39A104696DB51F17C529AD3CABE"
A> decryptionKey="8A9BE8FD67AF6979E7D20198CFEA50DD3D3799C77AF2B72F"
A> validation="SHA1" />
A>
A>Вот интересно, как генерить эти ключи?
using System;
using System.Text;
using System.Security.Cryptography;
namespace Crypto
{
public class KeyCreator
{
public static void Main(String[] args)
{
String[] commandLineArgs = System.Environment.GetCommandLineArgs();
string decryptionKey = CreateKey(System.Convert.ToInt32(commandLineArgs[1]));
string validationKey = CreateKey(System.Convert.ToInt32(commandLineArgs[2]));
Console.WriteLine("<machineKey validationKey=\"{0}\" decryptionKey=\"{1}\" validation=\"SHA1\"/>", validationKey, decryptionKey);
}
static String CreateKey(int numBytes)
{
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
byte[] buff = new byte[numBytes];
rng.GetBytes(buff);
return BytesToHexString(buff);
}
static String BytesToHexString(byte[] bytes)
{
StringBuilder hexString = new StringBuilder(64);
for (int counter = 0; counter < bytes.Length; counter++)
{
hexString.Append(String.Format("{0:X2}", bytes[counter]));
}
return hexString.ToString();
}
}
}
K>Вынесли форму авторизации в отдельное приложение. При заходе на сайт он редиректит на авторизацию, там проводится авторизация и браузер возвращается на исходный сайт вместе с токеном сессии.
Не совсем понял, как токен переходит от сайта авторизации до конечного сайта, на который хочет зайти пользователь. Не могли бы Вы уточнить. Если он переходит кукой, то каким образом его передать, если сайт авторизации и конечный сайт находятся в разных корневых доменах?
Здравствуйте, slabkoslabko, Вы писали:
S>Не совсем понял, как токен переходит от сайта авторизации до конечного сайта, на который хочет зайти пользователь. Не могли бы Вы уточнить. Если он переходит кукой, то каким образом его передать, если сайт авторизации и конечный сайт находятся в разных корневых доменах?
Как параметр GET-запроса, которым юзер редиректится с сайта авторизации на конечный сайт.
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, slabkoslabko, Вы писали:
S>>Не совсем понял, как токен переходит от сайта авторизации до конечного сайта, на который хочет зайти пользователь. Не могли бы Вы уточнить. Если он переходит кукой, то каким образом его передать, если сайт авторизации и конечный сайт находятся в разных корневых доменах?
K>Как параметр GET-запроса, которым юзер редиректится с сайта авторизации на конечный сайт.
Но GET запрос можно перехватить. Можно от этого как-то защититься?
Здравствуйте, Аноним, Вы писали:
А>Но GET запрос можно перехватить. Можно от этого как-то защититься?
А толку? Он одноразовый и может быть насколько угодно сильно привязан к данному экземпляру браузера (вплоть до challenge-response системы). Это всё детали реализации и уровень параноидальности определяется исходя из конкретных условий...
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, Аноним, Вы писали:
А>>Но GET запрос можно перехватить. Можно от этого как-то защититься?
K>А толку? Он одноразовый и может быть насколько угодно сильно привязан к данному экземпляру браузера (вплоть до challenge-response системы). Это всё детали реализации и уровень параноидальности определяется исходя из конкретных условий...
правильно я понимаю подход?
Клиент заходит на одно их приложений, получает куку, идентифицирующую его браузер, и редеректится на систему аутентификации. После аутентификации, он по гету передает полученный от системы аутентификации токен и в качестве подтверждения того, что он есть тот кто есть, прикладывает куку полученную в самом начале?
Здравствуйте, Аноним, Вы писали:
А>правильно я понимаю подход?
А>Клиент заходит на одно их приложений, получает куку, идентифицирующую его браузер, и редеректится на систему аутентификации. После аутентификации, он по гету передает полученный от системы аутентификации токен и в качестве подтверждения того, что он есть тот кто есть, прикладывает куку полученную в самом начале?
Как я и сказал, степень параноидальности выбирается по вкусу. Вот что мне пришло в голову (надеюсь вы оцените параноидальность моих мыслей ):
1. Клиент генерит случайное число и затем загоняет его к качестве seed в Random.
2. Затем, используя этот экземпляр Random, он генерит последовательность определяемого в конфиге кол-ва чисел (назовём это значение num) и берёт последнее (назовём его response).
3. seed включается в challenge-тикет при редиректе на авторизацию, полученное число response сохраняется в сессии.
4. Авторизация создаёт объект Random на основе seed, который она получила в составе тикета, и аналогичным образом получает response (серверу также должен юыть известен num). Затем он хэшируется конкатенируется со строкой параметров клиента (тут может быть IP, User Agent и т.п.), полученная строка хэшируется и добавляется в GET-запрос, с которым юзер идёт обратно на целевой сайт.
4. при возврате мы достаём из сессии наш response, собираем строку по аналогии с п.4, хэшируем её и сравниваем с тем, что пришло в GET-запросе. При совпадении считаем авторизацию успешной.
Основан метод на особенности работы ГПСЦ, коим является Random, заключающейся в том, что Random генерирует одинаковую последовательности при одинаковых seed'ах. Для иллюстрации приведу псевдокод.
Целевой сайт, перед отправкой на авторизацию:
var rand = new Random(DateTime.Now);
var seed = rand.Next();
var rand2 = new Random(seed);
var response = 0;
for(var i = 0; i < num; i++)
{
response = rand2.Next();
}
Сервер авторизации:
var rand = new Random(seed);//seed достаётся из параметров запросаfor(var i = 0; i < num; i++)
{
response = rand2.Next();
}
var identString = GenerateClientIdentString(Request); //включаем сюда всё, что по вашему мнению может идентефицировать браузер клиентаvar identString += response.ToString();
var authResponse = GetMD5Hash(identString);
Целевой сайт, после возврата с авторизации:
var identString = GenerateClientIdentString(Request);
var identString += += response.ToString();
var authResponse = GetMD5Hash(identString);
//сравниваем полученных хэш с тем, что получили от авторизации, при совпадении считаем авторацию успешной
для того чтобы пользователь со своими креденциями свободно заходил в другие приложения достаточно в web.confog у всех этих приложений сделать одинаковым ключ
Здравствуйте, <Аноним>, Вы писали:
А>для того чтобы пользователь со своими креденциями свободно заходил в другие приложения достаточно в web.confog у всех этих приложений сделать одинаковым ключ
А><machineKey validation="SHA1" validationKey="..." decryptionKey="..." />
Большое вам спасибо
Но это только часть вопроса. И самое главное, вопрос давным давно уже решен ;-
Здравствуйте, Аноним, Вы писали:
А>для того чтобы пользователь со своими креденциями свободно заходил в другие приложения достаточно в web.confog у всех этих приложений сделать одинаковым ключ
А><machineKey validation="SHA1" validationKey="..." decryptionKey="..." />
Эти настройки не имеют никакого отношения к SSO и вышесказанное не соответствует действительности — не вводите людей в заблуждение...