Как сделать общую авторизацию для сетки сайтов?

Question

[jeruthadam]

Есть сетка из 10 сайтов. Хочется сделать прозрачную единую авторизацию между ними. Т.е. если юзер зареган на одном сайте - при заходе на другой сайт этой сети он автоматически зареган. Как это сделать?

К примеру, сейчас я пробую сделать внешний сервер авторизации. И теперь запрос на авторизацию уходит не на mydomen.com/auth а на authserver.com. Пытаюсь поставить куку - она не ставится. Как это обходят другие сервисы? Как это вообще реализуется?

Answer 1

[irishmann]

Межсайтовая авторизация

Comments

[jeruthadam]

Куча вопросов, все кратко и скомкано, нужны комментарии по этой заметке.

[jeruthadam]

Пользователь на site.com заполняет форму. Мы шифруем в одну строку (токен) и передаем редиректом на sso.com

Откуда передаем? С клиента? С бека site.com? Почему редиректом?

Сессионной сookie нет: вставляем javascript файл c sso.com в начале страницы

Это как так "вставляем"? Что это значит? Инжект в дом?

Файл отдается PHP скриптом, который проверяет есть ли cookie на sso.com

Получается, при запросе этого файла будут улетать куки этого сервера авторизации? А как они ставятся изначально, непонятно? Откуда они берутся? Дальше же написано

Cookie нет: возвращаем пустой JS

Тогда откуда этой куке взястся? И что такое пустой JS?

Сессия поднята: пишем в JS установку сессионной cookie и перезагрузку страницы на site.com.

пишем в JS? Это как?)) И ставить куку джеесом? Это ж тогда она будет несекурная. Отстой. И перезагрузка сайта это отстой, у меня СПА.

Answer 2

[Иван Шумов]

Это называется Single Sign-on. Реализуется вынесением отдельного сервиса аутентификации, работающего по одному из популярных протоколов: OAuth2, OpenId, SAML. Есть готовые решения и сервисы вроде Auth0, а есть те что модно развернуть самостоятельно: Keycloak, WSO2, Identity Server 4, ...

Модно написать самостоятельно - это будет долго, дорого, бажно

Comments

[jeruthadam]

У какого из опен соурс решений есть апи, который можно подключить в свою админку (вывод, администрирование юзерами и тд)

[Иван Шумов]

jeruthadam, у всех, но это не нужно

[jeruthadam]

Почему не нужно. Удобней, чем бегать между 10 разными интерфейсами.

[Иван Шумов]

jeruthadam, по тому что в большинстве случаев права в системе не должны выходить за рамки системы, а это значит что каждая система должна хранить в себе *призрака" пользователя и его права. Identity Server, технически, может выполнять роль авторизатора, но так стоит делать только когда понимаешь последствия

[jeruthadam]

Я говорю всего-лишь об интерфейсе системы, а не ее выходе. Про авторизаторы вообще ничего не понял.

[Иван Шумов]

jeruthadam, аутентификация и авторизация разные процессы. Identity Server отвечает в основном за первое

[jeruthadam]

Иван Шумов, не догоняю к чему вы это все мне говорите в целом. Я вас спросил есть ли апи для вывода данных с сервера аутентийфикации в мою кастомную админку. При чем тут это все я не понимаю (вернее понимаю - не причем вообще)

[Иван Шумов]

jeruthadam, советую углубиться - взять любое из решений и потыкать. Раз SPA то для простоты можно с Auth0 начать

[jeruthadam]

Э нет, Auth0 это я точно никогда не буду использовать.

[Иван Шумов]

jeruthadam, дорого?)

[jeruthadam]

Иван Шумов, убого

[Иван Шумов]

jeruthadam, то есть топовое решение на рынке - убого? ок

[Иван Шумов]

jeruthadam, чем убого, если не секрет?)))

[jeruthadam]

Иван Шумов, ну хотя бы их неубираемый брендинг, их убогая форма.

[Иван Шумов]

jeruthadam, брендинг убиваемый, просто не на бесплатном пакете. Форма очень удобная, особенно когда соцсеточки подключаешь и вообще, когда посетил админку настройки, а не прошел мимо

[jeruthadam]

Иван Шумов, я фронтендер и мне больно смотреть на эту некастомищирумую форму. Для убирания брендинга там какие-то конские деньги при этом форма все равно их остается.

[Иван Шумов]

jeruthadam, твое право, но если ты фронтендер то тебе не подойдет ни одно решение по тому что:
- SaaS тебя будет всегда ограничивать
- опенсорс ты не поставишь, а если и поставишь то не нстроишь, ты фронтендер и там JAVA

[jeruthadam]

Иван Шумов, ну я фронтендер, но спокойно использую базы данных, редис, очереди задач и тд в своих приложениях. В ваших библах я также ожидал увидеть байндинги для Ноды, неужели их нету? Для использования Редиса мне не надо прграмировать на C же) А там надо джава? Ну тогда это странно. Обычно все конфигами ограничивается максимум.