php员工告假体系技巧_机房夜话加精篇

文章目录 [+]

在无尘、恒温、恒湿的环境里，这些信息系统的日子过得非常惬意。

他们只须要在白天应对人类的HTTP 要求，及时做出相应，只要人类一放工，系统的负载就陡然低落，CPU内存全部都空闲下来。
大家闲来无事，热热闹闹的机房夜话就开始了。

php员工告假体系技巧_机房夜话加精篇

1第一夜

（图片来自网络侵删）

休假系统是用天下上最好的措辞PHP做的，他向来灵通，本日带来了一个特殊新闻：“ 号外号外，听说了吗，人类要搞SSO了。
”

Python 写的报销系统， C#写的车辆管理系统早就看不惯PHP这种中英殽杂的风格了： “ 别拽了，说中文！
”

PHP休假系统很不屑： “便是单点登录嘛，难道你们没听说过？”

C# 说： “不便是登录嘛！
人类不是每天登录系统？你看他们想调度车俩的时候，就得登录我的系统，输入用户名和密码，我做验证，验证通过就建立session, 然后把session id 通过cookie发送给人类的浏览器，下次人类再访问我的URL的时候， cookie就会发过来，我就知道他已经登录过了。
“

C#很得意，向大家炫耀着登录的事理。

“对了，见告你们一个小秘密，人类这些密码太大略了，不是123456, 便是abcd。
”

Python附和道： “ 是啊，人类太

“那对付同一个人，你这里的用户名/密码和小C#那里会一样吗？” PHP说

“这个。
。
。
很有可能不一样。
”

PHP说： “对啊，这便是问题了，这么多不同的用户名，有的是邮箱地址，有的是手机号，有的是用户名，我们这里几十个别系，搁谁都记不全啊! 这便是他们为什么要搞单点登录：在一个地方登录一次，就可以访问我们这里所有的系统了”

C# 叫道: \"大众只须要登录一次？听起来很美好啊！
让我想想怎么实现，对了，登录便是cookie，那我们把cookie共享起来不就可以了？人类在报销系统那里登录后，再访问我这个车辆管理系统，把cookie发过来不就行了？\"大众

众人纷纭表示赞许。

PHP 心里再次鄙视了一下C# , 说： “NO , NO , cookie是不能跨域的， a.com 产生的cookie , 浏览器是不会发到b.com去的。
”

有人在悄悄地google , PHP果真说得不错。

大家赶紧检讨了下自己的域名，有的叫 xxx.vaction.com, 有的叫xxx.hr.com , 看来共享cookie方案不管用。

PHP补充到： “大概人类能把我们统一到一级或二级域名下，比如 xxx.company.com, 这样cookie可以共享了！
但是我们后端没有session 也弗成啊，你cookie发过来，我内存中没数据，根本不知道你是否登录过，怎么验证？”

C#说： “session 也可以共享哦，你看我这个别系有两个做事器，共享的是redis中的session，将来我们这几十个别系都共享同一个redis，想想都让人激动啊！
”

Python 说： “ 这么多系统，架构不同，措辞也不同，共享session太麻烦了吧？ ”

C# 发愁地说： “那怎么办？ ”

这时候阁下传来了一声大吼： “你们在那里吵吵什么，老子在天生报表，都没法专心干活了！
”

这是脾气暴躁的COBOL在抱怨了，千万不要惹这个老家伙，于是大家纷纭噤声，老诚笃实地睡觉去了。

2第二夜

第二天晚上，COBOL程序终于歇着了，大家连续谈论。

Python提了一个新点子：“要我说，我们别共享session了，我们就用cookie, 用户在我这个报销系统这里登录了，我就在cookie中写个token , 用户访问别的系统，就可以把token 带过去，那个系统验证一下token ，如果没问题，就认为它已经登录了。
”

“那token 得加密吧，要不然谁都可以假造” C#安全意识挺强

“那是自然，听说过json web token 没有？我们每个别系在天生token 的时候，都要对数据做个署名，防止别人修改，下面便是我生产的token , 个中有header 信息和userID，你看我用Hash算法和密钥生产了一个署名。
这个署名啊也是token数据的一部分，到时候也会发到你的系统去” Python 说

（打算署名的过程）

（放置到cookie中的token）

C#说： “明白了，我收到了token ，就用同样的算法再打算署名，然后和你打算的比较，如果相等，证明他登录过，我可以直接取出userID利用了，如果不相等，解释有人修改，我就关门放狗，把他暴揍一顿。
”

Ruby 插嘴说： “这个办法不错，轻量级，我喜好！
只是这个算法和密钥大家都得同等才行。
密钥的分发也是个问题。
”

PHP听了半天，创造了一个漏洞：“你这个token中放了一个userID, 可是我们每个别系的userID都不一样啊，你的userID 我拿过来没有任何用途，怎么办？”

这的确是个致命的问题！
每个别系中都有一套自己独特的user id ,互不共享，这样以来之前谈论的什么共享session, 共享cookie ,都很难实现了 !

一阵沉默，看来没救了。

夜已深，大家谈论得有点累了，纷纭睡去。

3第三夜

第三天，机房夜话连续，但还是没有办理方案。
气氛有点小尴尬。

老成持重的Java咳嗽了几声，示意要发言了。

“你们知道吗，我们是一个企业内部系统，人类搞SSO便是想肃清这多个账号的问题，将来每个别系都不须要掩护自己的用户系统，他们会建立一个统一的认证中央，所有的用户注册和认证都在那里做。
”

“这么做行得通吗，认证中央怎么关照我们说用户已经认证了？” C#问道

“这个过程轻微有点繁芜” ， Java 对C# 说， “举个例子来阐明下，比如用户通过浏览器先访问你这个别系www.a.com/pageA ，这个pageA是个须要登录才能访问的页面，你创造用户没有登录，这时候你须要做一件额外的操作，便是重定向到认证中央，www.sso.com/login?redirect=www.a.com/pageA”

C#说： “为什么后面要跟一个redirect的url呢？奥，明白了，将来认证通过后，还要重定向到我这里来。
”

“没错，浏览器会用这个www.sso.com/login?redirect=www.a.com/pageA 去访问认证中央，认证中央一看，没登录过，认证中央就让用户去登录，登录成功往后，认证中央要做几件主要的事情：

1. 建立一个session。

2. 创建一个ticket （可以认为是个随机字符串）

3. 然后再重定向到你那里， url 中带着ticket : www.a.com/pageA?ticket=T123 与此同时cookie也会发给浏览器，比如：Set cookie : ssoid=1234, sso.com ”

“可是这个cookie对我一点用途都没有啊，跨域不能访问啊。
”

“人家网站sso.com的cookie对你肯定没用了，浏览器会保存下来。
但是把稳那个ticket ” Java 提醒道， “这个东西是个主要的标识，你拿到往后须要再次向认证中央做验证。
”

“明白，是为了防止不坏美意的人假造”

“你拿着token ,去问下认证中央，这是您发的token 吗，认证中央说没错，是我发的，那你就可以认为用户在认证中央登录过了”

“那我该干什么事情呢？ ”

“浏览器向你发出的要求不是www.a.com/pageA?ticket=T123 吗，这时候你既然认为用户已经登录过了，那就给他建立session, 返回pageA这个资源啊”

“嗯，我还须要给浏览器发一个cookie, 对吧，这是属于我的cookie : Set cookie : sessionid=xxxx, a.com ” C# 说道