win10密码界面死循环 w10输入密码一直转圈


《单点登录与循环登录问题分析》

在现代企业环境中,单点登录(SSO)作为一种便捷的认证机制,已被广泛应用于各种内部系统中。在实际使用过程中,循环登录问题经常出现,困扰着众多企业。本文将探讨单点登录的基础原理,分析循环登录产生的原因,并提出有效的解决策略。

一、单点登录的基本概述

1.1 定义与背景

在一个大型企业中,通常会有多个系统和应用。如果每次访问不同的系统都需要重新登录,这不仅浪费时间,还增加了管理账号和密码的复杂性。那么,是否存在一种方法,能够在企业内部所有系统中,只需一次登录验证即可使用其他系统呢?这就是单点登录(SSO)技术的目标。

单点登录(Single Sign-On,简称SSO)是一种允许用户通过一次认证即可访问多个应用程序或系统的技术。用户只需在第一个系统中进行登录,之后访问其他系统时,无需再次输入用户名和密码,即可自动获得访问权限。

win10密码界面死循环 w10输入密码一直转圈

1.2 实现原理

win10密码界面死循环 w10输入密码一直转圈

用户登录:用户在任意应用程序或系统中进行身份验证,并提供登录凭据。

认证系统验证:登录凭据被传送到认证系统进行验证。如果凭据有效,认证系统会生成一个包含用户身份信息的令牌(如Token或Ticket)。

令牌分发:认证系统将生成的令牌返回给应用程序或子系统。

应用程序授权:应用程序通过令牌验证用户身份,并授权其访问所需的资源或服务。

跨域访问:用户通过同一令牌可以访问多个跨域系统,无需重复登录。

二、循环登录问题的解析

有时,当用户尝试登录一个内部系统时,可能会遇到页面不断刷新的情况,并且提示“重定向次数过多”。这种现象通常表明系统陷入了循环登录的困境。

win10密码界面死循环 w10输入密码一直转圈

通过前端调试工具,我们可以发现,系统在不断进行重定向请求:

win10密码界面死循环 w10输入密码一直转圈

系统为何会出现循环登录问题?我们可以发现,当提示“尝试删除您的 Cookie”时,按照这个方法进行操作,系统又能正常跳转到登录页面,这说明问题的根源可能与Cookie的设置有关。接下来,我们将详细分析这一问题的根本原因。

三、正常登录流程的工作原理

win10密码界面死循环 w10输入密码一直转圈

在理想的情况下,单点登录的工作流程如下:

用户首次访问时,输入 aaa.x.y 并回车。

权限系统检测用户是否已登录。如果未登录,系统会将用户重定向到单点登录系统的登录页面。

用户输入用户名和密码后,单点登录系统进行认证,并将登录状态写入SSO的session中。

SSO系统在完成登录后,会生成一个Token,并将其作为参数传递给用户请求的系统。

用户的系统接收到Token后,会向SSO系统验证Token的有效性。

验证成功后,用户的系统将记录顶级域名下的Cookie信息。

在企业内部,通常只使用一个顶级域名,通过不同的二级域名来区分各个系统。例如,一个名为 x.y 的域名下有两个业务系统:app1.x.y 和 app2.x.y。通过单点登录设置的Cookie域为顶级域 x.y,确保所有子域下的系统都可以访问到该Cookie,从而实现无缝登录。

win10密码界面死循环 w10输入密码一直转圈

四、循环登录的根本原因分析

循环登录的现象通常源于以下几个原因:

(1) 从重定向记录来看,发现页面刷新时,系统重定向回权限系统,而Request Headers中的Cookie信息没有传递相应的Token。

(2) 当跳转到权限系统后,再次返回到本系统时,虽然Token信息已被获取,但在设置Cookie时出现了警告。

警告内容表明:此次设置Cookie的操作被阻止,因为Cookie未通过安全连接传输。访问确实使用了HTTP而非HTTPS,因此需要设置Secure属性以确保Cookie仅通过HTTPS传输。由于此警告,后续的登录请求未能正确传递Cookie,导致系统反复进行用户认证,最终形成了循环登录。

五、解决方案与方法

5.1 清除浏览器缓存的底层机制

循环登录时,浏览器可能提示“重定向次数过多”,建议清除Cookie信息。清除Cookie信息后,问题得以解决。这是因为清除Cookie相当于删除了Secure属性,从而使用HTTP重新进行登录,系统可以正常设置Cookie信息。

5.2 其他解决策略

方法一:使用HTTPS访问

在实际应用中,我们可能无法控制所有使用相同顶级域名的服务的Cookie设置。如果其他服务设置了Cookie的Secure属性,那么使用HTTP访问会导致问题。为避免这种情况,可以强制使用HTTPS访问,这样即使其他服务设置了Secure属性,也能够成功设置和读取Cookie。

方法二:在Cookie中设置新Token

对于没有主动反馈的用户,可以在用户不切换到HTTPS的情况下解决问题。可以为服务新增一个Cookie参数,例如newToken,以避免因Secure属性问题导致的登录失败。

六、扩展:Cookie的端口隔离问题

本文讨论的问题涉及到两个基本条件:为了实现单点登录,同一顶级域名下的不同域名共享Cookie;HTTPS设置的Cookie Secure属性导致HTTP访问出现问题。有开发者可能会问,为何不通过端口区分Cookie以避免干扰?

根据Cookie规范(RFC 6265),Cookie并不根据端口进行隔离。如果一个Cookie可以被某个端口上的服务读取,那么它也可以被同一服务器上其他端口上的服务读取。这意味着端口并不能阻止Cookie在不同服务之间的共享。

七、结论

本文从实际开发中遇到的循环登录问题出发,深入分析了由于Secure属性设置导致的HTTP访问问题,并提供了两种有效的解决方案。这些分析和建议对于其他开发人员在解决类似权限系统中的循环登录问题具有重要参考价值。

参考资料:

单点登录实现思路及方案

Sessions don't work in Chrome but do in IE

8.5. Weak Confidentiality

出处:[mp.weixin./s/mHJGCi4FPxKvE_CP8VLyRQ](mp.weixin./s/mHJGCi4FPxKvE_CP8VLyRQ)