单点登录(SSO)

更新时间: 2024-10-10 07:28:40
编辑

本文讲述在浏览器环境中,如何使用 Authing 提供的 SDK,实现 单点登录

本文使用的 SDK 名称:Authing Web SDK,NPM 包名@authing/web (opens new window)

Authing Web SDK

Authing Web SDK 为开发者提供了简单易用的函数来实现浏览器端的单点登录效果,它是一款基于 OIDC (opens new window) 标准的 Web 应用认证侧 SDK,你可以通过调用 SDK 与 Authing 完成集成,帮你实现浏览器内多个应用跨主域的单点登录效果。

Authing Web SDK 可以帮你实现浏览器内多个应用跨主域的单点登录效果,目前只适合单独使用,暂不支持与 Guard 或其他 SDK 混用。

Authing Web SDK 目前支持的功能如下:

功能说明
loginWithRedirect跳转登录
loginWithPopup弹窗登录
isRedirectCallback判断当前 URL 是否为 Authing 登录回调 URL,结合 getLoginState 实现静默登录
getLoginState获取登录态
getUserInfo获取用户信息
logoutWithRedirect退出登录

除此之外,Authing Web SDK 未来将陆续从 authing-js-sdk (opens new window) 中迁移所有可在浏览器中运行的 Authing 大部分认证类功能,并集成 Authing 最新的 V3 版认证类 API,为用户提供更好的使用体验。

第一步:创建自建应用

参考 创建自建应用 (opens new window)

第二步:配置单点登录

参考 自建应用 SSO 方案 (opens new window)

第三步:修改配置

找到刚刚配置为单点登录的几个应用,分别进入其 应用配置 页面,填写以下信息:

  1. 认证配置:配置 登录回调 URL

  1. 授权配置授权模式 开启 authorization_code返回类型 开启 code

  1. 如果你创建的是 标准 Web 应用,则以下 token 验证方式勾选 none

  1. 保存当前配置。

注意,如果使用社会化身份源或企业身份源登录,且登录后获取用户信息时需要返回包含所有身份源的 identities 字段,则需要开启账号关联配置,具体参考 身份源连接的账号关联

第四步:安装 SDK

Authing Web SDK 支持通过包管理器安装、script 标签引入的方式集成到你的前端业务软件中。

第五步:实例化 SDK

实现单点登录至少需要两个应用,所以 SDK 也需要分别实例化两次并传入不同的参数。

第六步:发起登录

Authing Web SDK 可以向 Authing 发起认证授权请求,目前支持三种形式:

  1. 跳转登录:从当前页面跳转到 Authing 的托管登录页进行登录。
  2. 弹窗登录:弹出一个窗口,在弹出窗口中加载 Authing 托管的登录页,无需页面跳转。
  3. 静默登录:在 自建应用 SSO 方案 一文中有提到,可以将多个自建应用添加到 单点登录 SSO 面板。如果用户已经登录过其中的一个应用,那么在同一浏览器另一个标签页访问其他应用的时候,就可以实现静默登录,直接获取到用户信息,实现单点登录效果。

一、跳转登录

loginWithRedirect 方法也可以传入以下自定义传参:

二、弹窗登录

你可以使用默认参数,也可以根据需要进行自定义传参:

三、静默登录

四、高级使用

Authing Web SDK 默认会使用缺省参数。如果你需要精细控制登录请求参数,可以参考本示例。

import { Authing } from '@authing/web'

const authing = new Authing({
  // 控制台 -> 应用 -> 单点登录 SSO -> 配置 -> 应用面板地址,如:https://my-awesome-sso.authing.cn
  domain: 'AUTHING_DOMAIN_URL',

  // 控制台 -> 自建应用 -> 点击进入相应的应用 -> 端点信息 -> APP ID
  appId: 'AUTHING_APP_ID',

  // 控制台 -> 自建应用 -> 点击进入相应的应用 -> 认证配置 -> 登录回调 URL
  redirectUri: 'YOUR_REDIRECT_URL',

  // 控制台 -> 设置 -> 基础设置 -> 基础信息 -> 用户池 ID
  userPoolId: 'AUTHING_USER_POOL_ID'

  // 应用侧向 Authing 请求的权限,以空格分隔,默认为 'openid profile'
  scope: 'openid email phone profile',

  // 回调时在何处携带身份凭据,默认为 fragment
  // fragment: 在 URL hash 中携带
  // query: 在查询参数中携带
  responseMode: 'fragment',

  // 是否使用 OIDC implicit 模式替代默认的 PKCE 模式
  // 由于 implicit 模式安全性较低,不推荐使用,只用于兼容不支持 crypto 的浏览器
  useImplicitMode: false,

  // implicit 模式返回的凭据种类,默认为 'token id_token'
  // token: 返回 Access Token
  // id_token: 返回 ID Token
  implicitResponseType: 'token id_token',

  // 是否在每次获取登录态时请求 Authing 检查 Access Token 有效性,可用于单点登出场景,默认为 false
  // 如果设为 true,需要在控制台中将「应用配置」-「其他配置」-「检验 token 身份验证方式」设为 none
  introspectAccessToken: false,

  // 弹出窗口的宽度
  popupWidth: 500,

  // 弹出窗口的高度
  popupHeight: 600,
});

第七步:登录后的处理

获取登录态

如果你想获取 Access TokenID Token 等用户登录态,可以调用 getLoginState 方法,如果用户没有在 Authing 登录,登录状态为 null

获取用户信息

退出登录

可以调用 SDK 的 logoutWithRedirect 方法退出登录。

如果是「单点登出」的场景,则实例化 SDK 时需要传入 introspectAccessToken 参数并设置为 true

获取帮助

请访问 Authing 论坛 (opens new window)