SSO基于全局Session和局部Session的实现

最新推荐文章于 2022-03-16 20:35:43 发布
置顶 最新推荐文章于 2022-03-16 20:35:43 发布
阅读量6.1k 收藏 9
点赞数 1
分类专栏: SSO 文章标签: SSO 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Coder_Joker/article/details/80432869
版权

推荐一下自己的一个数据结构与算法整合的库,还处于更新状态

2019-01-12 18:23 更: demo明天给出 .   emmmmm我记得这个demo应该是18年的啊,怎么19是上个月给的?蛤?---

2019-01-13 18:51 更: https://github.com/ItsFunny/examples/tree/master/sso_demo

什么是sso:single sign on ,一处登录,处处登录

核心流程:

    

 

UML画图不好,请见谅(上面有一处忘记划过来了,就是登录成功后携带token跳转):

 

    1.用户发起Http请求子系统A的受限资源

    2.通过局部会话发现用户并未登录(filter拦截)

    3.跳转到sso服务中心

    4.sso服务中心又通过filter拦截,通过全局会话判断是否登录

        4.1如果用户未登录,则放行让用户跳转到登录页面,用户登录逻辑处:登录成功后设置全局会话,并且将生成的token携带跳转到原先的子系统

        4.2如果发现用户已经登录了,则从会话中去取token,携带跳转到子页面

    5.子系统的filter接收到token后,可以通过http的放行进行校验,也可以自个儿校验

        5.1校验成功后设置局部session,并且返回资源页面

        5.2校验失败,则继续任务3

    当另外一个子系统访问的时候,因为已经有过一个子系统访问过了,所以浏览器与sso服务中心记录了一个cookie,每次提交都会将这个cookie提交(jsessionid),所以这个子系统访问到的也是同一个session

sso-server的代码:

    filter:

    

[java] view plain copy

  1. @Override  
  2. public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)  
  3.         throws IOException, ServletException  
  4. {  
  5.     HttpServletRequest request = (HttpServletRequest) arg0;  
  6.     HttpSession session = request.getSession();  
  7.         Object isAuth = session.getAttribute(SessionConstant.markIsAuth);  

[java] view plain copy

  1.                 //  说明在本系统已经登录过了  
  2.         if (null!=isAuth)  
  3.         {  
  4.             String encryptedToken = (String) session.getAttribute(SessionConstant.USER_LOGIN_TOKEN_IN_SESSION);  
  5.             String redirectUrl = StringUtils.isEmpty(request.getParameter("redirectUrl"))  
  6.                     ? TmallUrlEnum.TMALL_PORTAL.getLoginNotifyUrl()+"?"  
  7.                     : request.getParameter("redirectUrl");  
  8.             HttpServletResponse response = (HttpServletResponse) arg1;  
  9.             response.sendRedirect(redirectUrl + "token=" + URLEncoder.encode(encryptedToken, "utf-8"));  
  10.         } else  
  11.         {  
  12.             arg2.doFilter(arg0, arg1);  
  13.         }  
  14.     }  

Login登录的逻辑:

    

[java] view plain copy

  1. @RequestMapping("/login.do")  
  2.     public ModelAndView doLogin(@RequestParam Map<String, Object> params, HttpServletRequest request,  
  3.             HttpServletResponse response) throws UnsupportedEncodingException  
  4.     {  
  5.         ModelAndView modelAndView = null;  
  6.         String redirectUrl = StringUtils.isEmpty(params.get("redirectUrl")) ? TmallURLConstant.TMALAL_PORTAL_INDEX_URL  
  7.                 : (String) params.get("redirectUrl");  

[java] view plain copy

  1.                 //获取用户的server 地址,为什么要获取呢,因为注销的时候需要将旗下的登录着的子系统也注销了,注销的时候直接for循环发送http请求即可  
  2.         String server = StringUtils.isEmpty(params.get("server")) ? TmallUrlEnum.TMALL_PORTAL.getServerUrl()  
  3.                 : (String) params.get("server");  
  4.         String encryptedToken = "";  
  5.         /* 
  6.          * 下面这段redis判断其实没必要了,因为既然写了一个filter,filter中是ifPresentReturn 存在则返回,这里就不会执行到了 
  7.          * 当然我们还需要考虑这种情况,用户直接访问这个controller方法,所以我们需要在filter中设置一个默认返回的页面 
  8.          */  
  9.         // String encryptedToken = CookieUtils.getUserToken(request,  
  10.         // CookieConstant.USER_TOKEN);  
  11.         // if (!StringUtils.isEmpty(encryptedToken))  
  12.         // {  
  13.         // String primitiveToken = RSAUtils.decryptByPublic(encryptedToken,  
  14.         // keyProperties.getLoginPublicKey());  
  15.         // if (!StringUtils.isEmpty(primitiveToken)  
  16.         // &&  
  17.         // !StringUtils.isEmpty(redisService.get(String.format(RedisConstant.USER_INFO,  
  18.         // primitiveToken))))  
  19.         // {  
  20.         //  
  21.         // HttpSession session = request.getSession();  
  22.         // System.out.println(session.getId());  
  23.         // session.setAttribute(SessionConstant.markIsAuth, true);  
  24.          request.getSession(true).setAttribute(SessionConstant.markIsAuth, true);  
  25.         // String encode = URLEncoder.encode(encryptedToken, "utf-8");  
  26.         // System.out.println(encode);  
  27.         // modelAndView = new ModelAndView("redirect:" + redirectUrl + "token=" +  
  28.         // encode);  
  29.         // return modelAndView;  
  30.         // }  
  31.         // }  
  32.         String email = request.getParameter("email");  
  33.         String password = request.getParameter("password");  
  34.         User user = userService.findByEmail(email);  
  35.             // 双重保障:1.rsa的私钥只要不被泄露 不可能破解2.如果私钥泄露了,用户还需要凑出userId以及user登录的具体时间  
  36.             String token = UUID.randomUUID().toString() + "-" + user.getUserId() + "-" + System.currentTimeMillis();  
  37.             encryptedToken = RSAUtils.encryptByPrivate(token, keyProperties.getLoginPrivateKey());  
  38.             // 将token记录在session中  
  39. //          CookieUtils.setUserToken(response, CookieConstant.USER_TOKEN, encryptedToken,  
  40. //                  CookieConstant.USER_TOKEN_EXPIRE);  

[java] view plain copy

  1.                         //创建一个全局的session:保持用户的登录记录  
  2.             request.getSession(true).setAttribute(SessionConstant.markIsAuth, true);  
  3.             // 记录token对应的地址信息  
  4.             Set<String> serverList = new HashSet<>();  
  5.             String redisKey=String.format(RedisConstant.USER_SERVLER_URL, token);  
  6.             String servers = redisService.get(redisKey);  
  7.             if (!StringUtils.isEmpty(servers))  
  8.             {  
  9.                 serverList = new HashSet<>(JsonUtils.json2List(servers, new TypeToken<List<String>>()  
  10.                 {  
  11.                 }.getType()));  
  12.             }  
  13.             serverList.add(server);  

[java] view plain copy

  1.                         //在redis中记录登录着的服务的信息  
  2.             redisService.set(redisKey, JsonUtils.obj2Json(serverList));  
  3.             redisService.set(String.format(RedisConstant.USER_INFO, token), JsonUtils.obj2Json(user),  
  4.                     RedisConstant.USER_INFO_EXPIRE);  
  5.         }  
  6.         if (params.containsKey("error"))  
  7.         {  
  8.             modelAndView = new ModelAndView("login", params);  
  9.         } else  
  10.         {  
  11.             String string = URLEncoder.encode(encryptedToken, "utf-8");  
  12.             System.out.println(string);  
  13.             request.getSession().setAttribute(SessionConstant.markIsAuth, true);  
  14.             modelAndView = new ModelAndView("redirect:" + redirectUrl + "token=" + string+"&JSESSIONID="+request.getSession().getId());  
  15.         }  
  16.         return modelAndView;  
  17.     }  

[java] view plain copy

  1.   

子系统:

    filter:

    

[java] view plain copy

  1.     @Override  
  2.     public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)  
  3.             throws IOException, ServletException  
  4.     {  
  5.         HttpServletRequest request = (HttpServletRequest) req;  
  6.         HttpServletResponse response = (HttpServletResponse) resp;  
  7.         HttpSession session = request.getSession();  
  8.         Object isAuth = session.getAttribute(SessionConstant.markIsAuth);  
  9.         if (null!=isAuth)  
  10.         {  
  11.             chain.doFilter(req, resp);  
  12.             return;  
  13.         }  
  14.         String token = request.getParameter("token");  
  15.         if (!StringUtils.isEmpty(token))  
  16.         {  
  17.             // 校验token的有效性  
  18. //          RestTemplate restTemplate = new RestTemplate();  
  19. //          String json = restTemplate.getForObj1ect(TmallURLConstant.TMALL_LOGIN_SSO_AUTH_TOKEN_URL + "?token=" + URLEncoder.encode(token, "utf-8"),  
  20. //                  String.class);  
  21.             //既然用redis了,为啥不将redis作用共享的呢,子系统只有读的权限,就可以省略一个http调用了啊,如果是基于其他方式的话,就需要http调用了  
  22.             String primitiveToken = RSAUtils.decryptByPublic(token, keyProperties.getLoginPublicKey());  
  23.             if(StringUtils.isEmpty(primitiveToken))  
  24.             {  
  25.                 response.sendRedirect(TmallURLConstant.TMALL_LOGIN_URL+"?redirectUrl="+PortalUtils.getRedirectUrl(request));  
  26.             }  
  27.             String json=redisService.get(String.format(RedisConstant.USER_INFO, primitiveToken));  
  28.             if (!StringUtils.isEmpty(json))  
  29.             {  
  30.                 User user = JsonUtils.json2Object(json, User.class);  
  31.                 session.setAttribute(SessionConstant.markIsAuth, true);  
  32.                 session.setAttribute(SessionConstant.USER_IN_SESSION, user);  
  33.                 chain.doFilter(req, resp);  
  34.                 return;  
  35.             }  
  36.         }  
  37.         //传入的token无效的时候也会跳转到查询用户是否登录  
  38.         // 查询用户在sso-server中是否登录  
  39. //      response.sendRedirect(TmallURLConstant.TMALL_LOGIN_SSO_CHECKLOGIN_URL + "?redirectUrl="  
  40. //              + PortalUtils.getRedirectUrl(request));  
  41.         response.sendRedirect(TmallURLConstant.TMALL_LOGIN_URL+"?redirectUrl="+PortalUtils.getRedirectUrl(request)+"&server="+PortalUtils.getServerBaseUrl(request));  
  42.     }  

上述的有几处url拼接并没有加入?或者&是因为我截取的时候已经加上了:

	public static String getRedirectUrl(HttpServletRequest request)
	{
		StringBuffer buffer = request.getRequestURL();
		String queryString = request.getQueryString();
		if (!StringUtils.isEmpty(queryString))
		{
			buffer.append("?").append(queryString);
		}
		String t = buffer.toString();
		t += t.contains("?") ? "&" : "?";
		return t;
	}

 

遇到过的坑:

 

    子系统无论我如何去访问sso-server,每次访问到的session都是不同的,这是个大坑

究其原因在于sso-server和其他子系统都在同一个域名之下,而重定向请求是2次request请求,因为是在同一个域名之下,将sso-client1下的jsessionid携带过去了,第一次访问sso-server肯定没有这个相同sessionid的,所以新生成了一个session,并且设置到cookie中,跳转会子系统的时候又发现新改的这个session标识sso-client也没有,所以又重新生成一个,于此循环,所以另外的子系统访问sso-server的时候session永远不可能和其他子系统相同

session的生成:当为某次请求生成一个session的时候,如果请求带了cookie(包含jsessionid),则会试图以从服务器中找寻是否有相同的session,没有则重新创建一个新的

Coder_Joker
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
单点登录原理与简单实现
weixin_30851409的博客
11-29 8531
(2017-09-22更新)GitHub:https://github.com/sheefee/simple-sso 一、单系统登录机制 1、http无状态协议   web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系   但这...
【身份认证及权限控制一】单点登录
qq_35789269的博客
04-09 3821
官方介绍:单点登录,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。 SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 一,单点登录实现的原理 以单个客户端访问单个服务端来讲,以下图为例! ,会话机制 1.浏览器在第一次访问Tomcat服务器的时候,Tomcat服务器会在服务端创建session对象,并存储到map中,key是session的i
HttpSession理解学习
hi_sir_destroy的博客
04-20 540
1.HttpSession 1). HttpSession:在服务器端保持HTTP状态的方案。和其对应的是Cookie 2). 产生HttpSession对象的过程:当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求是否包含一个session标识(即sessionID),如果已经包含一个sessionId则说明已经创建了一个session,服务器就按照sess...
全局session
weixin_44311665的博客
04-21 790
获取作用域存储session request.getServletContext().setAttribute(“user”,user);
秒杀项目之用户验证
weixin_60389087的博客
03-16 1485
接着上期内容 一、用户验证 未登录的用户不能进入首页 根据上期内容,我未登录也能进入首页: 1、在方法内添加请求与反应 ①、IUserService package com.example.seckill.service; import com.example.seckill.pojo.User; import com.baomidou.mybatisplus.extension.service.IService; import com.example.seckill.util.res.
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到Cookie和Session两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用Cookie和Session进行登录后的拦截处理。 首先,简单介绍...
PHP实现cookie跨域session共享的方法分析
10-16
本文将深入探讨如何使用PHP实现Cookie跨域和Session共享,以及处理相关问题的方法。 首先,让我们理解Cookie和Session的基本概念。Cookie是由服务器发送到客户端(浏览器)并由客户端保存的一小段数据,通常用于...
php实现多站点共用session实现单点登录的方法详解
10-16
它基于客户端的Session ID共享和服务器端的Session信息共享。当用户在其中一个站点登录后,其Session ID被所有关联站点识别并用来获取该用户的Session信息,从而实现全局登录状态。 ### 同一服务器下的多站点单点...
.NET Core2.0+MVC 用session,cookie实现sso单点登录
04-11
通过以上步骤和理解,你将能够在.NET Core 2.0+MVC的环境中实现一个基于session和cookie的SSO单点登录系统。项目的源代码(如SSO.Core.Solution压缩包)可以作为学习和参考,帮助你深入理解和实践这些概念。
PHP实现SSO单点登录三种情况的实现方式详解编程小技巧共
11-22
总结起来,PHP实现SSO可以通过Cookie、Token或Session ID共享这三种方式,每种方式都有其适用场景和优缺点。选择合适的方法,结合实际业务需求,可以构建出高效、安全的SSO系统。在实践中,开发者还需要对HTTP协议、...
mysql系统变量、全局变量、会话变量、局部变量
P923284735的博客
03-04 1951
系统变量 查看所有的系统变量 SHOW GLOBAL [SESSION] VARIABLES; 查看满足条件的部分系统变量 SHOW GLOBAL [SESSION] VARIABLES LIKE '%变量名%'; 查看指定的某个系统变量的值 SELECT @@GLOBAL|[SESSION].系统变量名; 为某个系统变量赋值 # 方式一: SET GLOBAL|[SESSI...
SSO - 使用cookie和session实现单点登录
江南烟雨却痴缠丶
06-22 3732
什么是单点登录 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。 cookie+session实现单点登录 之前的文章有记录过使用CAS开源项目来实现单点登录,也有通过JWT来实现
SSO单点登录(三)基于session的服务端
汤圆一号已就位
06-18 757
其他的内容不过多废话,服务端的详细内容可以见SSO单点登录(二)基于redis的服务端 本来,主要是针对核心逻辑,由redis改为session的处理方式,如果非要问一个优缺点,那就简单说明几点 redis可以拓展很多,比如分布式系统等,但是登录数据不会销毁,安全性存在一定问题,就会出现一人登录,多人共享的效果 session的话,目前只能管理本地会话,浏览器关闭session会销毁,安全性更好...
[ASP.NET] Session 详解
★VS.Net编程★
07-07 3170
原文地址:http://www.frontfree.net/view/article_742_page1.html 阅读本文章之前的准备  阅读本文章前,需要读者对以下知识有所了解。否则,阅读过程中会在相应的内容上遇到不同程度的问题。   懂得ASP/ASP.NET编程   了解ASP/ASP.NET的Session模型   了解ASP.NET Web应用程序模型   了解ASP.NET Web应
2024年公关服务行业分析报告.pptx
最新发布
07-09
行业报告
sso基于token实现
02-06
sso(单点登录)是指用户只需要在一个系统中进行身份认证就可以在多个应用系统中自动登录。基于 token 的 sso 实现方式是,用户在第一个应用系统中进行身份认证后,会向用户发放一个 token,该 token 表示用户的身份认证信息。用户在访问其他应用系统时,只需要将 token 作为凭证,就可以自动登录进入系统。这种方式可以避免用户在多个应用系统中重复进行身份认证的麻烦。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值