Einfache Anleitung zu Single Sign-On (SSO)
Wenhao Wang
Dev Intern · Leapcell
Was ist Single Sign-On?
Frontend Single Sign-On (SSO) ist eine Technologie zur Benutzerauthentifizierung und -autorisierung, die es Benutzern ermöglicht, sich mit einem einzigen Satz von Anmeldeinformationen bei mehreren Anwendungen oder Websites anzumelden, ohne sich erneut anmelden oder registrieren zu müssen. Dieser Ansatz verbessert die Benutzerfreundlichkeit, reduziert die Wartungskosten und erhöht die Sicherheit.
Einführung und Implementierung von Single Sign-On-Lösungen
Die wichtigsten Ansätze für Frontend-SSO umfassen:
Cookie-basiertes SSO
Nach erfolgreicher Anmeldung im Authentifizierungszentrum auf Seite A wird ein Cookie gesetzt:
Dies ist die gebräuchlichste SSO-Implementierung. Das Prinzip beruht auf dem Cookie-Mechanismus des Browsers. Wenn sich ein Benutzer zum ersten Mal bei einer Anwendung anmeldet, wird eine Anfrage an das Authentifizierungszentrum gesendet. Nach Überprüfung der Identität des Benutzers gibt das Authentifizierungszentrum ein verschlüsseltes Cookie zurück, das Benutzerinformationen und eine Gültigkeitsdauer enthält. Die Domain des Cookies wird auf die Top-Level-Domain gesetzt (z. B. example.com), wodurch es für Anwendungen unter derselben Top-Level-Domain freigegeben werden kann (z. B. a.example.com und b.example.com). Wenn der Benutzer auf andere Anwendungen zugreift, wird geprüft, ob ein gültiges Cookie vorhanden ist. Wenn dies der Fall ist, meldet er sich direkt an; andernfalls wird der Benutzer zur Anmeldung an das Authentifizierungszentrum weitergeleitet. Diese Methode ist einfach zu implementieren, beschränkt sich aber auf Anwendungen unter derselben Top-Level-Domain, hat domänenübergreifende Probleme und schränkt die Größe und Anzahl der Cookies ein.
Setzen eines Cookies nach erfolgreicher Anmeldung auf Seite A:
// Generieren eines verschlüsselten Cookie-Wertes const encryptedValue = encrypt(userinfo); // Setzen des Cookies document.cookie = `sso_token=${encryptedValue};domain=.example.com;path=/;max-age=86400;`;
Prüfen auf das Cookie auf Seite B:
// Abrufen des Cookies const cookieValue = document.cookie .split(';') .find((cookie) => cookie.trim().startsWith('sso_token=')) .split('=')[1]; // Entschlüsseln des Cookies const userinfo = decrypt(cookieValue); // Direkt anmelden login(userinfo);
Token-basiertes SSO
Dies ist eine zustandslose SSO-Implementierung. Das Prinzip besteht darin, eine Anfrage an das Authentifizierungszentrum während der ersten Anmeldung des Benutzers zu senden. Nach Überprüfung der Identität des Benutzers gibt das Authentifizierungszentrum ein verschlüsseltes Token zurück, das Benutzerinformationen und eine Gültigkeitsdauer enthält, die im lokalen Speicher des Browsers gespeichert werden (z. B. localStorage oder sessionStorage). Wenn der Benutzer auf andere Anwendungen zugreift, wird geprüft, ob ein gültiges Token vorhanden ist. Wenn dies der Fall ist, meldet er sich direkt an; andernfalls wird der Benutzer zur Anmeldung an das Authentifizierungszentrum weitergeleitet. Diese Methode unterstützt domänenübergreifende Operationen und ist nicht durch Cookies eingeschränkt, erfordert aber zusätzlichen Speicherplatz und Netzwerk-Overhead. Sie birgt auch Sicherheitsrisiken, da gestohlene Token zu Identitätsmissbrauch führen können.
Speichern des Tokens in localStorage nach erfolgreicher Anmeldung auf Seite A:
// Generieren des Token-Wertes const token = generateToken(userinfo); // Speichern des Tokens localStorage.setItem('sso_token', token);
Prüfen auf das Token auf anderen Seiten:
// Abrufen des Tokens const token = localStorage.getItem('sso_token'); // Validieren des Tokens const userinfo = verifyToken(token); // Direkt anmelden login(userinfo);
OAuth 2.0-basiertes SSO
Dieser Ansatz verwendet den Authorization Code Flow von OAuth 2.0. Wenn sich ein Benutzer zum ersten Mal bei einer Anwendung anmeldet, wird eine Anfrage an das Authentifizierungszentrum gesendet. Nach Überprüfung der Identität des Benutzers gibt das Authentifizierungszentrum einen Autorisierungscode zurück und leitet zur Callback-URL der Anwendung weiter. Die Anwendung sendet dann den Code an das Authentifizierungszentrum, um ihn gegen ein Access Token und ein Refresh Token einzutauschen, die Benutzerinformationen und Gültigkeitsdauern enthalten. Diese Token werden im lokalen Speicher des Browsers gespeichert. Wenn der Benutzer auf andere Anwendungen zugreift, wird geprüft, ob ein gültiges Access Token vorhanden ist. Wenn dies der Fall ist, meldet er sich direkt an; andernfalls wird der Benutzer zur Anmeldung an das Authentifizierungszentrum weitergeleitet. Diese Methode folgt dem OAuth 2.0-Standard und unterstützt mehrere Client-Typen (z. B. Web, Mobile, Desktop). Sie ist jedoch komplexer und erfordert mehrere Anfragen und Weiterleitungen.
Senden einer Autorisierungsanfrage auf Seite A:
const authorizeUrl = `https://auth.example.com/authorize?client_id=${clientId}&redirect_uri=${encodeURIComponent( redirectUri )}&response_type=code`; // Weiterleiten zur Authentifizierungs-Login-Seite window.location.href = authorizeUrl;
Weiterleiten zurück zur Callback-URL von Seite A mit dem Autorisierungscode nach erfolgreicher Anmeldung:
const redirectUri = 'https://app.example.com/callback'; // Generieren des Autorisierungscodes const code = generateAuthorizationCode(userinfo); // Weiterleiten zurück zur Callback-URL der Anwendung window.location.href = `${redirectUri}?code=${code}`;
Austauschen des Autorisierungscodes gegen ein Access Token auf Seite A:
const code = getQueryString('code'); // Senden einer Anfrage an das Authentifizierungszentrum, um das Access Token zu erhalten const tokenUrl = `https://auth.example.com/token?client_id=${clientId}&client_secret=${clientSecret}&code=${code}&grant_type=authorization_code`; fetch(tokenUrl) .then((response) => response.json()) .then((data) => { // Speichern des Access Tokens und Refresh Tokens localStorage.setItem('access_token', data.access_token); localStorage.setItem('refresh_token', data.refresh_token); // Direkt anmelden login(data.userinfo); });
Wir sind Leapcell, Ihre erste Wahl für das Hosten von Node.js-Projekten – wir unterstützen Datei-Uploads bis zu 100 MB!
Leapcell ist die Next-Gen Serverless Plattform für Webhosting, Async Tasks und Redis:
Multi-Language Support
- Entwickeln Sie mit Node.js, Python, Go oder Rust.
Unbegrenzte Projekte kostenlos bereitstellen
- Sie zahlen nur für die Nutzung – keine Anfragen, keine Gebühren.
Unschlagbare Kosteneffizienz
- Pay-as-you-go ohne Leerlaufgebühren.
- Beispiel: 25 $ unterstützen 6,94 Millionen Anfragen bei einer durchschnittlichen Antwortzeit von 60 ms.
Optimierte Entwicklererfahrung
- Intuitive Benutzeroberfläche für mühelose Einrichtung.
- Vollautomatische CI/CD-Pipelines und GitOps-Integration.
- Echtzeit-Metriken und -Protokollierung für verwertbare Erkenntnisse.
Mühelose Skalierbarkeit und hohe Leistung
- Auto-Scaling zur mühelosen Bewältigung hoher Parallelität.
- Kein operativer Overhead – konzentrieren Sie sich einfach auf das Bauen.
Erfahren Sie mehr in der Dokumentation!
Folgen Sie uns auf X: @LeapcellHQ
Share this article
![x](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g><g fill="%23000000"><path d="M0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g></svg>){kind=small}
![facebook](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g><g fill="%233b5998"><path d="M0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g></svg>){kind=small}
![linkedin](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g><g fill="%23007fb1"><path d="M0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g></svg>){kind=small}
![reddit](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g><g fill="%23FF4500"><path d="M0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g></svg>){kind=small}
![telegram](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g><g fill="%2349a9e9"><path d="M0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g></svg>){kind=small}
