单点登录的原理和实现

[单点登录](Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
很早期的公司,一家公司可能只有一个Server,慢慢的Server开始变多了。每个Server都要进行注册登录,退出的时候又要一个个退出。用户体验很不好!

这就是今天要说的单点登录

登录的原理

前因

由于 http 是无状态的,所以每次请求都相当于是新的,那么系统是怎么记住的呢,这个时候 session 和 cookie这两个东西出现了。第一次访问 server ,tomcat会生成一个 cookie,记录 sessionId 并且返回到浏览器,比如你访问你的是 a.com,那么第一次访问 a.com之后,浏览器就会多了一个 cookie,这个 cookie 的作用域就是 a.com,下次访问 a.com 的时候就会自动带上这个 cookie,然后服务器判断是不是第一次访问。cookie 和 session 是相辅相成的。

后果

判断登录是否成功有两种方法:
第一种是:判断 cookie 中带的 sessionId 我服务器存不存在,存在成功,反之失败。
第二种是:第一次登录成功之后给当前 session 设个值,然后每次访问进来都判断进来的 sessionId ,用这个 sessionId 能拿到值则登录成功,反之失败。

流程

image.png

单点登录原理

image.png
  1. 浏览器访问应用1中的受限资源
  2. 判断没登录,则跳转到认证中心登录页面
  3. 登录成功,跳转回应用1,附带登录成功的 token
  4. 应用通过 http 请求验证 token 是否正确有效
  5. token 有效
  6. 返回受限资源,允许访问
  7. 访问应用2中的受限资源
  8. 应用通过 http 请求验证是否已登录
  9. 返回已登录
  10. 返回受限资源,允许访问

细心的人可能会问,在第8步的时候,应用2通过什么判断是否已登录,如果不同域名的话,传不过 cookie,这个问题的我只能想到两种解决方案:

    1. 应用1和应用2保持同一个二级域名,这样就可以实现 cookie 共享了。例如:app1.sso.com,app2.sso.com
    1. 如果非要跨域的话,我觉得站内跳转是可行的,假如有 app1.com 和 app2.com, 在 app1.com 中加个跳转的按钮,点击这个按钮执行的还是 app1.com 的接口,在接口中跳转到 app2.com,跳转的时候根据当前 cookie拿到用户信息,这样在 app2.com 认证成功之后也可设置 app2.com 的 cookie。
    1. 还有一种方式就是通过父域的方式,cookie 存放在 app.com路径 中,app1和 app2通过 iframe 嵌套在 app 中,这样怎么跳都可以拿到 app 的 cookie,这是我在别的地方看到的,好像是可行。

UML 图

这次我通过了共享 cookie实现的单点登录:

image.png

有个这个 uml 图就相对比较清晰了,自己完善个代码基本不难了
因为涉及到会话管理,有些 session 什么的需要处理,所以我在这边接管了框架的 session 的存储,也就是实现了HttpSessionListener监听器,监听 session 的创建和删除,加了一个 map ,根据 sessionId 来存储和管理。

image.png
image.png

在 web.xml 中增加监听的配置


image.png

在判断是否登录的时候,我可以直接调用getSession根据 sessionId来拿到HttpSession 对象,就像这样:

Object auth =LocalSessionManager.getSession(session.getId()).getAttribute("token_info");

来判断当前应用是否有没有setAttribute值,有就是登录过,空就是没登录。这个作用就是防止每次判断是否登录都要去认证中心,那样认证中心压力太大了。

关键代码

我本地设置的 hosts:
127.0.0.1 app1.sso.com
127.0.0.1 app2.sso.com
127.0.0.1 server.sso.com
app1端口是8083
app2端口是8084
server端口是8082

也在此奉上关键代码:

  • sso-client的拦截器
    /**
     * springmvc 拦截器
     * @param request
     * @param response
     * @param o
     * @return
     * @throws Exception
     */
  @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        String url = "http://" + request.getServerName() + ":" + request.getServerPort() + request.getRequestURI();
        HttpSession session = request.getSession();
        Object auth = LocalSessionManager.getSession(session.getId()).getAttribute("token_info");
        String token = request.getParameter("token");

        //loginOut 不拦截
        if (request.getRequestURI().contains("loginOut") || request.getRequestURI().contains("toLoginOut")) {
            return true;
        }
        String userName = UrlUtils.getUserNameByCookies(request.getCookies());

        //说明当前用户为登录状态
        if (auth != null) {
            return true;
        }

        //说明是sso服务器调用的,稍后可能会改成别的判断
        if (token != null) {
            Map<String, Object> param = new HashMap<>();
            param.put("token", token);
            param.put("appUrl", request.getServerName() + ":" + request.getServerPort());
            String result = HttpUtils.httpPostRequest(serverUrl + "user/checkToken", param);
            if (resultHandle(result, request, response)){
                return true;
            }
        }

        //说明当前用户 有 cookie,可能认证中心已经登录了
        if (auth == null && userName != null) {
            //判断sso服务器是否已经登录了
            Map<String, Object> params = new HashMap<>();
            params.put("appSessionId", session.getId());
            params.put("appUrl", request.getServerName() + ":" + request.getServerPort());
            params.put("username", userName);
            String result1 = HttpUtils.httpPostRequest(serverUrl + "user/checkLogin", params);
            if (resultHandle(result1, request, response)){
                return true;
            }
        }

        response.sendRedirect(serverUrl + "?back=" + UrlUtils.encodeUrlWithSessionId(url, session.getId()));
        return false;
    }

    /**
     * 处理 server 返回的内容
     * @param result
     * @param request
     * @param response
     * @return
     */
    private boolean resultHandle(String result, HttpServletRequest request, HttpServletResponse response) {
        JSONObject jsonResult = JSONObject.parseObject(result);
        if (jsonResult.getBoolean("success")) {
            UserInfo info = JSONObject.parseObject(jsonResult.getString("data"), UserInfo.class);
            HttpSession sessionLocal = LocalSessionManager.getSession(info.getLocalSessionId());
            if (sessionLocal != null) {
                Cookie cookie = new Cookie("_token_security", UrlUtils.encodeUrl(Base64Utils.encodeBase64(info.getUserName())));
                cookie.setPath("/");
                cookie.setDomain(".sso.com");
                response.addCookie(cookie);
                System.out.println("url:" + request.getServerName());
                sessionLocal.setAttribute("token_info", info);
                return true;
            }
            return true;
        }
        return false;
    }
  • sso-server 的登录 controller
@RequestMapping(value = "/login", method = RequestMethod.GET)
    @ResponseBody
    public void login(String username, String password, String target,
                      HttpServletRequest request, HttpServletResponse response) throws IOException {
        if (username == null) {
            username = request.getParameter("name");
        }
        if (password == null) {
            password = request.getParameter("pwd");
        }
        if (target == null) {
            target = request.getParameter("target");
        }


        User user = userService.login(username, password);
        if (user != null) {
            String appSessionId = target.split("&")[1];
            UserInfo info = new UserInfo(request.getSession().getId(), appSessionId, username, null);
            String token = TokenUtils.takeTokenWithUserInfo(info);
            response.sendRedirect(URLUtils.decodeUrl(target.split("&")[0]) + "?token=" + token);
            return;
        }
        response.sendRedirect("/login.jsp?target=" + target);
    }

    @RequestMapping(value = "/checkToken", method = RequestMethod.POST)
    @ResponseBody
    public Map<String, Object> checkToken(String token, String appUrl) {
        Map<String, Object> map = new HashMap();
        map.put("success", false);
        UserInfo user = TokenUtils.getUserInfo(token);
        if (user != null) {
            user.setAppUrl(appUrl);
            //存入用户和应用的关联
            UserAppManager.add(user.getUserName(), appUrl);
            //重新初始化 token,是刚才的 token 失效,目的是 token 验证只能用一次
            TokenUtils.updataTokenWithUserInfo(token, user);
            map.put("success", true);
            map.put("data", user);
        }
        return map;
    }

    @RequestMapping(value = "/checkLogin", method = RequestMethod.POST)
    @ResponseBody
    public Map<String, Object> checkLogin(String appUrl, String username,String appSessionId, HttpServletRequest request, HttpServletResponse response) {
        username = Base64Utils.decodeBase64(URLUtils.decodeUrl(username));
        Map<String, Object> map = new HashMap();
        map.put("success", false);
        UserInfo user = TokenUtils.getUserInfoByUserName(username);
        //当前账号已登录
        if (user != null) {
            //当前应用没登录
            if (TokenUtils.getUserInfoByNameUrl(username,appUrl)==null){
                UserInfo info=new UserInfo(user.getGloalSessionId(),appSessionId,username,appUrl);
                //存入用户和应用的关联
                UserAppManager.add(username, appUrl);
                TokenUtils.takeTokenWithUserInfo(info);
                map.put("data", info);
                map.put("success", true);
                return map;
            }else {
                map.put("data", TokenUtils.getUserInfoByNameUrl(username,appUrl));
                map.put("success", true);
                return map;
            }
        }
        return map;
    }

    @RequestMapping(value = "/loginOut", method = RequestMethod.POST)
    @ResponseBody
    public Map<String, Object> loginOut(String username) {
        username = Base64Utils.decodeBase64(URLUtils.decodeUrl(username));
        Map<String, Object> map = new HashMap();
        map.put("success", false);
        try {
            Set<String> urls = UserAppManager.getByName(username);
            if (urls != null) {
                for (String url : urls) {
                    //远程删除 session
                    UserInfo info = TokenUtils.getUserInfoByNameUrl(username, url);
                    Map<String, Object> params = new HashMap();
                    params.put("sessionId", info.getLocalSessionId());
                    String targetUrl = "http://" + url + "/user/toLoginOut";
                    HttpUtils.httpPostRequest(targetUrl, params);
                }
            }
            TokenUtils.deleteByName(username);
            UserAppManager.deleteByName(username);
            map.put("success", true);
            return map;
        } catch (Exception e) {
            logger.error("loginOut error",e);
        }
        return map;
    }

github 地址:
https://github.com/thecattle/sso-client
https://github.com/thecattle/sso-server


ps:自己瞎写的,要是有大佬看到,还请多多指出错误

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,817评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,329评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,354评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,498评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,600评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,829评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,979评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,722评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,189评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,519评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,654评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,329评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,940评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,762评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,993评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,382评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,543评论 2 349

推荐阅读更多精彩内容