Avec le développement d'Internet, de plus en plus de sites Web et d'applications utilisent la fonction de connexion utilisateur, et l'une des méthodes de mise en œuvre les plus importantes est l'authentification unique de l'utilisateur (Single Sign-On, appelée SSO). Cette méthode permet aux utilisateurs de n'avoir besoin de se connecter qu'à un seul site ou application pour accéder simultanément à plusieurs autres sites ou applications liés à ce site ou à cette application, ce qui facilite grandement l'utilisation des utilisateurs.
Dans cet article, nous expliquerons ce qu'est l'authentification unique utilisateur et comment implémenter cette méthode à l'aide du code PHP.
Définition de l'authentification unique utilisateur
L'authentification unique utilisateur (SSO) est une méthode d'authentification utilisateur qui permet aux utilisateurs d'accéder à plusieurs sites associés via une seule connexion ou application . Dans les méthodes de connexion traditionnelles, les utilisateurs doivent se connecter individuellement pour chaque site Web ou application, ce qui nécessite généralement la saisie d'un nom d'utilisateur et d'un mot de passe. L'authentification unique, en revanche, peut partager les informations de connexion sur plusieurs sites ou applications, éliminant ainsi le besoin pour les utilisateurs de saisir leurs informations de connexion lorsqu'ils passent d'un site ou d'une application à un autre.
Grâce à l'authentification unique, l'expérience utilisateur peut être grandement améliorée, ce qui peut soulager les utilisateurs du processus fastidieux consistant à saisir les mêmes informations de connexion sur chaque site Web ou application, tout en améliorant également la sécurité, en particulier lors de l'utilisation Un mot de passe fort peut éviter les risques causés par les utilisateurs utilisant des mots de passe faibles ou le même mot de passe.
PHP implémente l'authentification unique de l'utilisateur
Nous allons maintenant utiliser un exemple simple pour démontrer comment utiliser PHP pour implémenter la fonction d'authentification unique de l'utilisateur. Prenons un scénario dans lequel il existe deux sites Web ou applications a.example.com et b.example.com. Nous souhaitons que les utilisateurs visitent b.example.com après avoir visité a.example.com sans se reconnecter.
Afin d'atteindre cet objectif, nous partirons des aspects suivants :
1 Partage des données de session
En PHP, nous pouvons utiliser Variable $_SESSION pour stocker les informations de session liées à l'utilisateur. Lorsqu'un utilisateur se connecte au site a.example.com, nous pouvons enregistrer les informations d'authentification de l'utilisateur (telles que le nom d'utilisateur et le mot de passe) dans a.example.com, ainsi que d'autres données de session, telles que les pages auxquelles l'utilisateur peut accéder. accès, et autres autorisations, etc. $_SESSION 变量来存储用户相关的会话信息。当用户在站点 a.example.com 中登录时,我们可以在 a.example.com 中保存用户的身份验证信息(例如用户名和密码),以及一些其他的会话数据,如用户能访问的页面、其权限等等。
而为了让用户无需重新登录即可访问 b.example.com,我们需要共享从 a.example.com 检索到的 Session 数据。要实现这一点,我们需要在两个站点的 php.ini 文件中设置 session.cookie_domain 为主域名(即 example.com),这样就保证了在两个站点中使用的 Session ID 都是相同的。同时,我们还需要在两个站点中使用相同的 Session 存储机制,如 MySQL 或 Redis。
2. 跨站点重定向
为了让用户从站点 a.example.com 转移到 b.example.com,我们需要使用 PHP 中的 header 函数来进行跨站点重定向。
在 a.example.com 中进行登录之后,我们将会跳转到 b.example.com。而为了保证用户无需输入登录凭据即可访问 b.example.com,我们需要使用 URL 参数来向 b.example.com 传递 Session ID,这样 b.example.com 就可以通过该 Session ID 检索到与该用户相关的 Session 数据。
具体来说,我们可以获取当前用户 Session ID,并将其作为 URL 参数传递到 b.example.com,代码如下所示:
session_start();
$session_id = session_id();
$url = "https://b.example.com/login.php?session_id=" . $session_id;
header("Location: $url");Copier après la connexion
该代码会将用户重定向到 b.example.com 的 login.php 页面,并在 URL 参数中传递 Session ID。
而在 b.example.com 的 login.php 页面中,则需要检查 URL 参数中的 Session ID,并使用该 Session ID 检索到与该用户相关的 Session 数据。如果检索到了相关的数据,则将用户标记为已登录状态。代码如下所示:
session_id($_GET['session_id']);
session_start();
// 检查该 Session ID 是否存在对应用户的 Session 数据
if (isset($_SESSION['user_id'])) {
$_SESSION['logged_in'] = true;
// 标识用户已经登录
}Copier après la connexion
3. 跨站点注销
除了跨站点登录之外,我们还需要考虑跨站点注销。跨站点注销通常需要包括以下几个步骤:
- 用户在站点 a.example.com 中注销。
- 删除 a.example.com 中的 Session 数据。
- 向其它站点发送注销通知。
- 在其他站点中删除与该用户相关的 Session 数据。
对于步骤 2,我们只需要调用 session_destroy()
Pour que les utilisateurs puissent accéder à b.example.com sans se reconnecter, nous devons partager les données de session récupérées sur a.example.com. Pour y parvenir, nous devons définir
session.cookie_domain comme nom de domaine principal (c'est-à-dire
example.com) dans les fichiers
php.ini de les deux sites), cela garantit que l'ID de session utilisé sur les deux sites est le même. Dans le même temps, nous devons également utiliser le même mécanisme de stockage de session, tel que MySQL ou Redis, sur les deux sites.
2. Redirection intersite
Pour transférer les utilisateurs du site a.example.com vers b.example.com, nous devons utiliser l'en-tête
en fonction PHP pour effectuer une redirection intersite. #🎜🎜##🎜🎜#Après vous être connecté à a.example.com, nous passerons à b.example.com. Afin de garantir que les utilisateurs peuvent accéder à b.example.com sans saisir les informations de connexion, nous devons utiliser les paramètres d'URL pour transmettre l'ID de session à b.example.com, afin que b.example.com puisse récupérer les informations relatives à l'utilisateur. via l’ID de session. #🎜🎜##🎜🎜# Plus précisément, nous pouvons obtenir l'ID de session de l'utilisateur actuel et le transmettre à b.example.com en tant que paramètre d'URL. Le code est le suivant : #🎜🎜#
$user_id = 123;
$request_url = "https://b.example.com/logout.php";
$ch = curl_init($request_url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, array('user_id' => $user_id));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$result = curl_exec($ch);
curl_close($ch);Copier après la connexion
#🎜🎜#Le code Le. l'utilisateur sera redirigé vers la page login.php sur b.example.com, en transmettant l'ID de session dans le paramètre URL. #🎜🎜##🎜🎜#Dans la page
login.php de b.example.com, vous devez vérifier l'ID de session dans le paramètre URL et utiliser l'ID de session pour récupérer les informations liées à les données de session utilisateur. Si les données pertinentes sont récupérées, l'utilisateur est marqué comme connecté. Le code est le suivant : #🎜🎜#
session_start();
session_destroy();
Copier après la connexion
Copier après la connexion
#🎜🎜#3. Déconnexion entre sites #🎜🎜##🎜🎜# En plus de la connexion entre sites, nous devons également prendre en compte la déconnexion entre sites. La déconnexion entre sites implique généralement les étapes suivantes : #🎜🎜#
- L'utilisateur se déconnecte du site a.example.com.
- Supprimez les données de session dans a.example.com.
- Envoyer des notifications de déconnexion à d'autres sites.
- Supprimer les données de session liées à cet utilisateur sur d'autres sites.
#🎜🎜#Pour l'étape 2, il suffit d'appeler la fonction
session_destroy() pour supprimer toutes les données de session liées à l'utilisateur actuel, ce qui permettra à l'utilisateur de la déconnexion actuelle du site. #🎜🎜##🎜🎜#À l'étape 3, nous pouvons utiliser la fonction cURL de PHP pour envoyer une demande de déconnexion à d'autres sites. Par exemple, nous pouvons envoyer une requête POST à b.example.com contenant des informations telles que l'ID de l'utilisateur déconnecté. Le code est le suivant : #🎜🎜#rrreee#🎜🎜#À l'étape 4, nous devons implémenter un code similaire pour supprimer les données de session dans chaque site comme auparavant. Par exemple, dans b.example.com, nous pouvons écrire le code suivant pour supprimer les données de session liées à l'utilisateur actuel. #🎜🎜#
session_start();
session_destroy();
Copier après la connexion
Copier après la connexion
4. 跨站点会话劫持
由于跨站点登录的特殊性,它会导致被恶意利用以进行跨站点会话劫持。攻击者可以通过某种方式获得受害者生成的 Session ID,然后将该 Session ID 用于攻击者自己的会话中,以此来获取受害者的权限。
为了防止这种情况的发生,我们可以使用以下几种方式来提高安全性:
- 使用 HTTPS 进行数据加密,从而确保传输过程中敏感信息不被窃取。
- 保持服务器端的 PHP 版本更新和安全补丁安装,以防止被已知的攻击利用。
- 使用
session_regenerate_id() 函数定期更新 Session ID,从而减小攻击者获取当前会话 ID 的可能性。
结论
在本文中,我们介绍了用户单点登录(SSO)的含义和意义,并使用 PHP 代码演示了如何实现基本的 SSO 方案。通过单点登录,可以提高用户在网站或应用程序间的使用体验,同时也能够提高安全性。而为了确保安全性,我们还需要在保证使用方便的基础上,考虑到跨站点会话劫持等安全风险,采取相应的安全措施。相信本文对于正在考虑或正在使用用户单点登录的 PHP 开发人员来说,会有所帮助。
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
