新浪微博SSO登陆机制

国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html
内部邀请码:C8E245J (不写邀请码,没有现金送)
国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为中国PE第一股,市值超1000亿元。 

------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

原文地址: http://blog.sina.com.cn/s/blog_7a09f0920101agni.html

最近在使用sina微博时,经常性交替使用 weibo.com 和 t.sina.cm.cn进入我的微博。发现当我在 t.sina.com.cn中登录之后,直接切换至weibo.com,这时候在 weibo.com是已经登录的,当我在 weibo.com进行注销之后,再切换至 t.sina.com.cn,这时候在 t.sina.com.cn也已经是注销的状态了。

     对于SSO的实现方案及其机制,早已经不是什么新鲜的技术了,从微软为.net提供的passport机制到java中开源的JBoss SSO、Oracle OpenSSO及经典的 Yale CAS等等之类的开源或一些商业SSO中间件都不失为作为单点登录实现的选择。当然一些企业也会选择自己实现一套适合自己轻量级方案,如采用 SESSIONID转递或SESSION同步复制之类的。 可以看得出SSO的价值也是具大的,就拿sina来说吧,增加 weibo.com域名之后,对于用户来说来说没有任何影响,即使你在 t.sina.com.cn中进行登录,可以无缝在两域名之间随意切换,对于它推广weibo.com无非是大大的益处。

    由于近年来一直在使用 Yale的CAS作为SSO的方案,觉得 SINA的SSO与Yale-CAS有很多异曲同工之妙,于是便对SINA的SSO进行分析,其中的细节处理还是很值的学习的。当然,由于分析看到的 SINA SSO处理都只是一些表现或表面上的东西,再加上其大部分关键的sso js都已经被压缩,及SERVER端的实现机制也只是靠自己的经验及结合CAS的的一些原理进行猜测。其实本文应该叫 更比较贴切。
  
    好吧,进入正题。

  • Sina SSO之分析篇

    首先是进入 t.sina.com.cn,提交用户名及密码进行登录,通过 Firebug可以看到它通过类似Aajx POST到了 http://login.sina.com.cn/sso/login.php?client=ssologin.js(v1.3.12),如下图所 示:
     

    不难看出,其 http://login.sina.com.cn/sso/login.php 就是类似是 CAS 中的 Server,对sina的所有应用系统提供的统一登录入口。上面的参数中有一个service参数,了解 CAS的GG应该知道 cas 在登录的时候除了username 和 password同样也有一个 service 参数,其CAS该参数含义是子应用系统的服务名标识及登录成功之后所跳转的地址。当然,sina这里使用了 "miniblog"作为微博的服务名,估计他在sso-server端对 miniblog 与登录成功之后的地址进行映射,如 miniblog=http://t.sina.com.cn/,这样就避免了CAS-client中转入service= decodeURIComponent('http://t.sina.com.cn')之类的做法了。

    这里的登录与CAS做法一致,将登录验证提交至统一的认证中心进行验证处理,从而避免了跨子域和全域的问题。 验证成功之后路转的路径就是service 所向的地址,验证失败之后则返回至当前登录页。下面就SSO中的一些登录方面的核心问题做一些分析,看看SINA和CAS分别是如何处理的:

      1.如何授权某个子系统允许其在sso-server进行登录验证呢,类似cas-server中的login-ticket;
        对于cas来说,在首次进入  /cas/login页时, 会产生一个一次性的login-ticket,也就是说在提交登录验证前必须向服务器请求一个login-ticket,在登录提交时,需要将用户名及密码以及login-ticket进行提交至 cas-server端,cas-server端确定login-ticket有效后才会对用户名及密码进行认证。
        看看sina如何处理的吧,继续看firebug:
               以上截图是当我首次进行 t.sina.com.cn时,通过 ajax/jsonp的方式发起的一个请求,可以看到返回的callback函数中的 json 串中包含了 nonce:"SXK19N"的属性,参数名的汉译是“一次”或“一次性”的意思,估计这里的 nonce就是login-ticket,为再一次确实,我再试着提交登录看看,看它是否将该参数POST过去:
        
       果然不出所料, nonce:"SXK19N"作为参数提交过去了,证明所猜测的应该是正确的。

  2.比如验证码跨域跨服务器导致从session无法获取的问题,我们曾经遇到过;
        貌似sina登录没有涉及到验证码之类的东西,当你多次登录失败之后,它采用的是“您的登录过于频繁,请稍后再试吧”,这种方案确实比验证码要好的多,而且还避免了上面的说的问题。

     3. 当我登录失败了,/sso/login.php 如何将登录的错误信息返回给 t.sina.com.cn并让它进行显示呢,如果我登录成功了/sso/login.php 通过什么方式通知t.sina.com.cn呢,因为它这里使用的是ajax方式登录?
       对于这方面,cas的处理是将错误信息以参数的方式返回给 client-login,如登录失败,重定向地址: http://cas-client.com?errocode=0,如果登录成功,则直接 重定向至 service 中的url,并生成ST给客户端,表示其已经在cas-server登录成功了。
       看看sina如何处理的吧,随便输入一个用户名密码,提交登录,继续通过firebug看看它的处理过程:
   
        再看看t.sina.com.cn 中的html内容的变化:
         
       
    以上图1中发生了两次请求,第一次登录验证是访问 sso认证中心,它所返回response是一个html内容,第二次请求的地址: http://t.sina.com.cn /ajaxlogin.php framelogin=1& callback=parent.sinaSSOController.feedBackUrlCallBack&retcode=4038& amp;reason=���)
    再结合以上图2信息,看到 html 中发生了变化,创建了一个 id=ssoLoginFrame 的iframe,于是便可以得出,sina 的登录并非原生的ajax方式,而是通过创建iframe来模拟提交不刷新的登录。也就是说,当用户点击登录提交时,这时候它会通过js创建 iframe,将登录提效至该iframe中。
         既然已经知道它登录是提交到iframe中,而非ajax方式,那么对于以上截图1中两个请求为什么返回的都是HTML内容就很容易解释了。再回到上面的 问题,/sso/login是如何通知t.sina.com.cn登录失败了呢? 首先在以上第一个截图中返回的 HTML包含了一段 javascript:
       

Javascript代码  

  1. location.replace("http://t.sina.com.cn/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack&retcode=4038&reason=��¼�%A����Դ������Ƶ�������Ժ��ٵ�¼");  

         location.replace的意思与location.href类似,同样都是改变当前的URL地址,具体区别及做法可以参考这里这里。需要注意的这里所说的通过location.replace改变当前的URL其它并非改变t.sina.com.cn的地址,而是第二个截图里iframe中src的地址,因为这段HTML是在iframe中输出的。
       在  locaiton.replace 的地址中包含了一个 retcode 及 reason参数,估计这就是当前登录的错误信息。在上面第一个截图的第二个请求实际就是在iframe 中进行的 location.replace操作后的跳转地址。关键看它输出的html内容:
  

国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html
内部邀请码:C8E245J (不写邀请码,没有现金送)
国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为中国PE第一股,市值超1000亿元。 

------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Html代码  

  1. <</span>html><</span>head>  
  2. <</span>script language='javascript'>  
  3.  parent.sinaSSOController.feedBackUrlCallBack({"result":false,"errno":"4038","reason":"\u767b\u5f55\u5c1d\u8bd5\u6b21\u6570\u8fc7\u4e8e\u9891\u7e41\uff0c\u8bf7\u7a0d\u540e\u518d\u767b\u5f55"});</</span>script></</span>head><</span>body></</span>body></</span>html>null  

      这段js是在 iframe中执行的,所以可以通过 parent 进行访问 t.sina.com.cn中的js,可以肯定 parent.sinaSSOController.feedBackUrlCallBack 就是告诉 t.sina.com.cn 当前已经登录失败了,并且将错误信息传至该入该callback了。至此,已经完成了 /sso/login.php 对 t.sina.com.cn的信息传送。 新浪果然是有一手呀,在CAS中AJAX登录一直都是一个问题,而sina它巧妙的通过 iframe+callback 进行实现了。
      接着,再看看它对于登录成功之后如何通知 t.sina.com.cn的吧,先看看登录成功之后 sina-sso-server 会做什么,看firebug截图:
       
       重点在于 set-Cookie: tgc=TGT-MTc4NTc0NzM0Mw==-1305003116-ja- D51B2EB107B79FC50D8CA424BFE08907;  哈哈,熟悉CAS的应该会很熟悉这个,没想到SINA的TGT与CAS的TGT不但参数命名,居然连生成的规则也一模一样,估计sina肯定是参考了 cas 的实现机制。关于TGT是什么或其作用可以参考:CAS总结之Ticket篇。另外还有一个就是当登录成功之后,sina-sso-server会将用户登陆名等等放在sina.com.cn根域的cookie中。
       然后再看看登录成功之后 sina-sso-server所返回的response内容:
       
       以下是从以上摘取JS部分:
      

Javascript代码  

      首先再次声明,以上firebug截图中的请求处理,并非 AJAX,而是在 t.sina.com.cn中放了一个iframe,输出的 reponse都会至iframe当中.    
      以上的js主要重点在于:
     

Javascript代码  

  1. location.replace('http://t.sina.com.cn/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack&retcode=0')  

      还是通过设置当前iframe中src地址,再看看跳转至http://t.sina.com.cn/ajaxlogin.php后的response内容吧:
      
      返回用户信息(从cookie中获取的),并且还是类似上面的做法,通过 parent.sinaSSOController.feedBackUrlCallBack回调t.sina.com.cn中的js,告诉它这个用户已经登录成功了。
      于是t.sina.com.cn便进行跳转至 t.sina.com.cn/dengers 中,从而实现登录。
      
      整体的处理流程如下:
      

      4. 当我在t.sina.com.cn中登录后,切换至weibo.com,weibo.com我应该也是已经登录的,如何做到呢?
       对于这个问题,CAS中的处理就是,当我进入 weibo.com的时候,马上跳转至  /cas/login,然后在login中判断cookie是否存在TGT,如果存在,并确定其有效性后,则认为你已经登录,并为你生成一个ST,将ST 作为ticket参数使其重定向至 weibo.com?ticket=TG-xxxx 并登录。
      看看sina怎么处理的吧,首先我直接在t.sina.com.cn登录成功。然后再新建一个选项卡,输入 weibo.com:
      
      可以看得出,当我进入 weibo.com之后,sina并没有直接进入 weibo.com的主页,而是马上重定向至:  http://login.sina.com.cn/sso/login.php?url=http://weibo.com/&_rand=1305008634.5127&gateway=1&service=miniblog&useticket=1&returntype=META  与cas的做法确实一致。 再看看该 login.php的Response 信息,主要是JS:
      

Js代码  

  1. "text/javascript" language="javascript">  
  2. location.replace("http://weibo.com/sso/login.php?url=http://weibo.com/&ticket=ST-MTc4NTc0NzM0Mw==-1305008634-ja-694BA43623A3F72999AE7129A0572048&retcode=0");  
  3.   

      看到这里之后,不得不怀疑 SINA 的 SSO 是不是用的就是 CAS 啊!!不但连 TGT 参数名一样,连ST规则及参数名也一模一样,其处理机制也十分相似。
      到这里之后就与 CAS 的处理一样了,就不详细写了,可以参考 CAS相关文章。

──────────
PS:由于在分析过程中里面的很多SSO关键JS都压缩了,所以难免会存在误差。 不过SINA的SSO很多细节方面确实处理的很好,作为互联网 应用的话,如果单纯的只是把 CAS DOWNLOAD 下来,然后直接配配就用的话很多方面的处理还是很不到位的。 有时间我把我们CAS参考 SINA 调整一下。

    到这里,不得不说的一个事情就是,之前在分析淘宝cookie如何跨域获取时, 大家都说出了一个taobao的jsonp实际存在一定的安全隐患。后面那个淘宝的GG看到之后加入Refer的判断。而现在,在分析的过程中发现新浪也 有这样的问题,可以尝试一下,随便在本地建立一个html,引入jquery,然后使用下面的JS,就可以获取到sina中的登录邮箱名等信息,前提是你 需要先在sina中登录:
 

Js代码  

    1. $.ajax({url: 'http://t.sina.com.cn/ajaxlogin.php?framelogin=0&callback=?&retcode=0', dataType:'jsonp',  
    2.                 success:function(data){  
    3.                     alert(data.userinfo.userid);  
    4.                 }});  
    5. 国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html
      内部邀请码:C8E245J (不写邀请码,没有现金送)
      国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为中国PE第一股,市值超1000亿元。 

      ------------------------------------------------------------------------------------------------------------------------------------------------------------------

       

时间: 2024-10-12 15:31:00

新浪微博SSO登陆机制的相关文章

新浪微博最近升级SDK ,优化了SSO登陆方式

摘要: 新浪微博最近 升级SDK ,优化了SSO登陆方式.只需一次登录授权,即可通过新浪微博帐号直接登录第三方应用和网站,不再需要重复设定帐号密码.新版SDK通过包名和签名验证应用身份 新浪微博最近升级SDK,优化了SSO登陆方式.只需一次登录授权,即可通过新浪微博帐号直接登录第三方应用和网站,不再需要重复设定帐号密码.新版SDK通过包名和签名验证应用身份,安全等级也有了提升. 通过新版的SDK,第三方应用在分享到微博的时候,还可以直接调用新浪官方微博客户端的发布器,分享完成之后再直接返回第三方

Android 使用新浪微博SSO授权

  新浪微博SSO授权,很早就做好了,只是一直没有时间整理博客,今天加班,晚上闲暇之时便想到整理一下.由于整个七月份很忙,加班很多.前段时间把腾讯微博的SSO认证整理好了.想在七月份翻篇之前再写点东西.好了,不多说废话了,下面就说说关于新浪微博SSO认证的内容. 新浪微博比较简单,而且很方便使用.由于在腾讯微博中我有讲到SSO认证的过程,这里主要是看看新浪微博demo中的MainActivity,这个类中告诉我们如何进行新浪微博的授权,按照这个范例来做就可以的.下面是这个类的源码 package

新浪微博模拟登陆问题

问题描述 我发送完post请求之后获得了<html><head><title>新浪通行证</title><metahttp-equiv="Content-Type"content="text/html;charset=GBK"/><scriptcharset="utf-8"src="http://i.sso.sina.com.cn/js/ssologin.js"

新浪微博怎么登陆 新浪微博登陆方法详解

给各位新浪微博软件的使用者们来详细的解析分享一下新浪微博登陆的方法. 方法分享: 新浪微博登陆方法一.这种方法是最正统的方法之一,即在百度直接输入"新浪微博",就会出现新浪微博的官方网站登录入口.PS:第一次登录之后,保存密码,就可以在下次登录时直接进入.但要注意,不可以在公共场所这样做.   新浪微博登陆方法二.进入360网址导航(其他网址导航也可以),找到有"微博"导航入品(一般在新浪网旁边),点击就可以进入新浪微博了.前提:有过登录并保存登录密码,下同.  

新浪微博即将登陆纳市:分析称或遭市场冷遇

中介交易 SEO诊断 淘宝客 云主机 技术大厅 腾讯科技 瑞雪 4月17日编译 在向美国证券交易委员会(SEC)提交的最新文件中,新浪微博公布了新的财务数据. 数据显示,新浪微博第一季度净亏损为4740万美元,相比之下去年同期的净亏损为1920万美元;营收为6750万美元,与去年同期相比增长一倍以上,但与上一季度相比则下滑5%左右.新浪微博称,该季度营收环比下滑的原因是受到中国农历新年假期所带来的季节性影响.预计新浪微博将在美国东部时间4月17日(北京时间同日晚间)在纳斯达克挂牌上市,股票交易代

一种新的移动APP保持登陆的实现机制介绍

移动APP的特点 移动APP和网页登陆不同的一点就是,App不需要用户每次使用都登陆,增加了易用性, 本文介绍一下App保持登陆的是实现机制 目前常见的机制: 一 使用传统的会话机制session 把网页的机制照搬过来,利用传统网页的记住登陆机制. 用户输入正确的用户名和密码后,创建登陆会话,同时生成一个记住登陆token保持在服务器端,同时发个客户端. 客户端每次启动时,通过记录登陆token新建会话,后续使用便采取session机制. 服务器端的可用Memcache 或 Redis 存储会话

网络爬虫-关于用python模拟登陆新浪微博返回内容

问题描述 关于用python模拟登陆新浪微博返回内容 第一次提交登陆信息和参数后,按照网上大神们的代码应该是在返回的内容中找到location.replace(....)提取url然后再访问,但是我post表单后得到的似乎不是登陆页面也不是正常登陆的页面 不知道这是一个什么页面...算是登陆上去了吗? 解决方案 基于python的新浪微博模拟登陆2014_新浪微博模拟登陆_python模拟新浪微博登陆---------------------- 解决方案二: 看上去是一个登录后的判断页面,要看你

新浪微博今日晚间将登陆纳斯达克 交易代码WB

今日晚间新浪微博将登陆纳斯达克,交易代码为WB.据某承销商向路透社披露,其IPO发行价为17美元,处于此前价格区间的最下限.新浪共发行1680万股ADS,融资2.856亿美元,总市值为34.6亿美元. 此前新浪微博确定IPO定价区间为每股ADS 17-19美元,发行2000万股并授予承销商300万股超额配售权. 此次IPO前,新浪持有新浪微博的股份为77.6%,阿里巴巴持有19.3%.上市后,新浪持股比例将降至56.9%,阿里巴巴的比例升至32%.但由于AB股的结构,新浪将拥有79.9%的投票权

django接入新浪微博OAuth的方法

  本文实例讲述了django接入新浪微博OAuth的方法.分享给大家供大家参考.具体分析如下: 最近将网站和新浪微博进行了整合,思路很简单,就是将页面内容和新浪微博联系起来,一个独立内容的页面对于一条微博,自然评论系统只需要使用微博的评论即可. 然后,用户需要发表评论的话,肯定要接入oauth,不可能让用户登录你的网站来发评论吧?没有谁会将自己的账号和密码告诉你的. 查看了新浪微博的授权机制,然后下载了python版的sdk,就可以在django上接入oauth了. 对于oauth很陌生的同学