SSO单点登录实例详解(前端传Code授权登录)

已于 2023-01-08 20:30:05 修改
阅读量2.7k 收藏 2
点赞数 1
分类专栏: 笔记 文章标签: java SSO 单点登录 登录 流程分析
于 2023-01-08 20:11:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ELSA001/article/details/128602954
版权

什么是 SSO(单点登录)

SSO 英文全称 Single Sign On,单点登录。SSO 是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

单点登录流程

单点登录大致流程如下所示:
在这里插入图片描述
单点登录详细流程:
首先在前端点击登录子系统的时候(主系统已经完成账号和密码登录),主系统会给前端在页面的地址栏上面给出code值(我感觉不是很安全,但就是设计成这样),code值是随机生成的,并且有时效性(过段时间就无效了)。
在这里插入图片描述
后端代码里面会直接接收这样的code值:
在这里插入图片描述
之后根据文档,把code值和其他在配置文件配置的固定值封装在一起并且传给主系统以获取accessToken 以及其他的信息(用户登录信息等),代码如下:

// 使用授权码code换取accessToken
List<NameValuePair> params = new ArrayList<>();
params.add(new BasicNameValuePair("code", code));
params.add(new BasicNameValuePair("client_id", Configuration.getClientId()));
params.add(new BasicNameValuePair("client_secret", Configuration.getClientSecret()));
params.add(new BasicNameValuePair("auth_type", Configuration.getGrantType()));
params.add(new BasicNameValuePair("redirect_uri", Configuration.getRedirectUri()));
JSONObject result = HttpClientUtils.post(Configuration.getClientUrl(), params);
log.info("使用授权码code换取accessToken  URL:{},params:{}",Configuration.getClientUrl(),JSON.toJSONString(params));

接下来把获取的信息遍历并且封装起来,最后需要把这些信息都传给前端:

// 一般用HashMap传给前端
Map<String,Object> res = new HashMap<String,Object>();
// 直接用迭代器遍历JSONObject对象result 
Iterator iter = result.entrySet().iterator();
while (iter.hasNext()) {
	Map.Entry entry = (Map.Entry) iter.next();
	res.put(entry.getKey().toString(), entry.getValue().toString());
}

如果主系统传给我的result不为空,就直接开始解析这个accessToken以获取单点登录的用户信息,子系统可以直接解析这个accessToken

String key = Configuration.getJwtKey();
Claims claims = Jwts.parser().setSigningKey(generalKey(key)).parseClaimsJws(result.getString("access_token")).getBody();
JWTInfo info = new JWTInfo(claims);
log.info("解析access_token:{}", info);
log.info("state:" + state);
log.info("用户信息:{}", info);

解析accessToken之后,就开始走子系统(我这个系统)的登录逻辑。
如果不存在时,则直接添加用户(和直接新增一个用户一样的逻辑):

// 本地登陆逻辑
User user = UserService.findByUserName(info.getUsername());
if (user==null){
	log.info("当前用户在系统不存在时 新增用户");
	// 当前用户在系统不存在时 新增用户
	User User=new User();
	// 默认密码是当前账号名
	User.setPassword(info.getUsername());
	User.setUsername(info.getUsername());
	User.setTruename(info.getName());
	User.setNickname(info.getUsername());
	User.setTenantid(tenantid_default);
	User.setSchemaname(crtenant + tenantid_default.toString());
	// 设置用户状态
	User.setStatus(1);
	// todo 给新增用户设置默认的权限
	log.info("新增用户,参数:{}",User);
	user = UserService.addUser(User);
	log.info("新增用户返回的结果:{}",user==null?"null":JSON.toJSONString(user));
}

如果新增完用户或者本地本来就有这个用户,就继续往下走,先把这个用户放入登录用户的上下文(当前线程ThreadLocal,每个用户都会有单独的线程,以用户名作为当前线程的唯一标识,以后都从这里取用户名),然后再新增一个JWT Token(本系统新增的token信息,目的是为了传给前端,前端以后都用这个token信息来获取数据),并且将这个token信息放入res中,最后通过mergeRightValues来整合用户的权限信息:

log.info("使用用户名密码登录 username:{},password:{}",user.getUsername()==null?"null":user.getUsername(),user.getPassword()==null?"null":user.getPassword());
//  放入当前登录用户上下文
UserContext.setCurrentUserName(user.getUsername());
String token = JWTUtils.createJWT("username", user.getUsername(), user.getUsername(), expire * 1000);
res.put("Token", token);
String rightvalues = authService.mergeRightValues(user);

接着,通过access_token来获取主系统的用户信息和token信息:

// 获取主系统的token
String access_token = result.getString("access_token");
List<NameValuePair> queryParams = new ArrayList<>();
queryParams.add(new BasicNameValuePair("token", access_token));
FrontUserDto frontUserDto = HttpClientUtils.getForxxx("http://172.xxx.xxx:8080/xxx/xxx/xxx/front/info", queryParams, access_token);
log.info("获取主系统的信息:frontUserDto:{}",frontUserDto);
res.put("userinfo", frontUserDto);

接下来把用户的媒体权限信息保存到redis中,之后前端每次从后端获取数据的时候都会从redis里面直接获取用户的媒体权限信息来确保信息的安全性:

// 把用户的权限缓存到redis中
List<PermissionInfoDto> copyright = frontUserDto.getElements().stream().filter(permissionInfoDto -> permissionInfoDto.getCode().contains("COPYRIGHT")).collect(Collectors.toList());
String userMediaIds = loginUserService.getMediaIdsBasedMediaName(copyright);
if (StringUtils.isEmpty(userMediaIds)){
	return new CallBackMessage(result);
}
redisTemplate.opsForValue().set("userMedia-"+ frontUserDto.getUsername(),userMediaIds);

接下来解析之前的权限信息rightvalues,解析成为权限ID值rightIds (这个ID值具有检索用户权限的作用,直接传给前端,之后前端会根据这些权限ID值来获取数据,需要注意的是,这个和前面的媒体权限ID不是一样的):

String rightIds = authService.getRightIdsByRightvalues(rightvalues);
log.info("defaultRightIds:{}",defaultRightIds==null?"null":defaultRightIds);
log.info("rightIds:{}",rightIds==null?"null":rightIds);
//当获取到权限为空时  使用默认权限防止前端报错
if (StringUtils.isBlank(rightIds)){
	rightIds=StringUtils.join(defaultRightIds.split(","), "_");
}else {
	rightIds = StringUtils.join(rightIds.split(","), "_");
}
log.info("rightIds:{}",rightIds==null?"null":rightIds);
log.info("token:{}",token==null?"null":token);
res.put("rightIds", rightIds);

接着将前面通过code获取的refresh_token缓存到redis中,之后注销登录的时候需要通过获取refresh_token来确认这个用户以此来注销用户:

//将refresh_token缓存到redis
String refreshToken=result.getString("refresh_token");
if (StringUtils.isNotBlank(refreshToken)&&StringUtils.isNotBlank(token)){
	String redisKey="data:center:auth:logout:";
	stringRedisTemplate.opsForValue().set(redisKey+token,refreshToken,1, TimeUnit.DAYS);
}

最后,把登录日志存入数据库,并且返回res给前端:

//记录登录日志
MySchema mySchema = new MySchema();
mySchema.setSchemaname(user.getSchemaname());
mySchema.setTenantid(user.getTenantid());
MySchemaHolder.setCurrentMySchema(mySchema);
sysLogService.addSafetyLog(user, request);
return new CallBackMessage(res);

全部代码

	@RequestMapping(value = "/token", method = RequestMethod.GET)
	public CallBackMessage login(String code, String state, HttpServletResponse response,HttpServletRequest request) throws IOException {
		Map<String,Object> res = new HashMap<String,Object>();
		// 使用授权码code换取accessToken
		List<NameValuePair> params = new ArrayList<>();
		params.add(new BasicNameValuePair("code", code));
		params.add(new BasicNameValuePair("client_id", Configuration.getClientId()));
		params.add(new BasicNameValuePair("client_secret", Configuration.getClientSecret()));
		params.add(new BasicNameValuePair("auth_type", Configuration.getGrantType()));
		params.add(new BasicNameValuePair("redirect_uri", Configuration.getRedirectUri()));
		JSONObject result = HttpClientUtils.post(Configuration.getClientUrl(), params);
		log.info("使用授权码code换取accessToken  URL:{},params:{}",Configuration.getClientUrl(),JSON.toJSONString(params));

		Iterator iter = result.entrySet().iterator();
		while (iter.hasNext()) {
			Map.Entry entry = (Map.Entry) iter.next();
			res.put(entry.getKey().toString(), entry.getValue().toString());
		}
		System.out.println(res);

		if (result != null) {
			log.info("使用授权码code换取accessToken,返回结果:{}",result.toJSONString());
			try {
				String key = Configuration.getJwtKey();
				Claims claims = Jwts.parser().setSigningKey(generalKey(key)).parseClaimsJws(result.getString("access_token")).getBody();
				JWTInfo info = new JWTInfo(claims);
				log.info("解析access_token:{}", info);
				log.info("state:" + state);
				log.info("用户信息:{}", info);
				// 本地登陆逻辑
				User user = UserService.findByUserName(info.getUsername());
				if (user==null){
					log.info("当前用户在系统不存在时 新增用户");
					// 当前用户在系统不存在时 新增用户
					User User=new User();
					// 默认密码是当前账号名
					User.setPassword(info.getUsername());
					User.setUsername(info.getUsername());
					User.setTruename(info.getName());
					User.setNickname(info.getUsername());
					User.setTenantid(tenantid_default);
					User.setSchemaname(crtenant+tenantid_default.toString());
					// 设置用户状态
					User.setStatus(1);
					// todo 给新增用户设置默认的权限
					log.info("新增用户,参数:{}",User);
					user = UserService.addUser(User);
					log.info("新增用户返回的结果:{}",user==null?"null":JSON.toJSONString(user));
				}
				log.info("使用用户名密码登录 username:{},password:{}",user.getUsername()==null?"null":user.getUsername(),user.getPassword()==null?"null":user.getPassword());
				// 放入当前登录用户上下文
				UserContext.setCurrentUserName(user.getUsername());
				String token = JWTUtils.createJWT("username", user.getUsername(), user.getUsername(), expire * 1000);
				res.put("copyRightToken", token);
				String rightvalues = authService.mergeRightValues(user);

				// 获取主系统的token
				String access_token = result.getString("access_token");
				List<NameValuePair> queryParams = new ArrayList<>();
				queryParams.add(new BasicNameValuePair("token", access_token));
				FrontUserDto frontUserDto = HttpClientUtils.getForSzxm("http://xxxx.xxxx.xxx/xxx/xxx/xxx/front/info", queryParams, access_token);
				log.info("获取主系统的信息:frontUserDto:{}",frontUserDto);
				res.put("userinfo", frontUserDto);

				// 把用户的权限缓存到redis中
				List<PermissionInfoDto> copyright = frontUserDto.getElements().stream().filter(permissionInfoDto -> permissionInfoDto.getCode().contains("COPYRIGHT")).collect(Collectors.toList());
				String userMediaIds = loginUserService.getMediaIdsBasedMediaName(copyright);
				if (StringUtils.isEmpty(userMediaIds)){
					return new CallBackMessage(result);
				}
				redisTemplate.opsForValue().set("userMedia-"+ frontUserDto.getUsername(),userMediaIds);

//          	String rightIds = "";
				String rightIds = authService.getRightIdsByRightvalues(rightvalues);
				log.info("defaultRightIds:{}",defaultRightIds==null?"null":defaultRightIds);
				log.info("rightIds:{}",rightIds==null?"null":rightIds);
				// 当获取到权限为空时  使用默认权限防止前端报错
				if (StringUtils.isBlank(rightIds)){
					rightIds=StringUtils.join(defaultRightIds.split(","), "_");
				}else {
					rightIds = StringUtils.join(rightIds.split(","), "_");
				}
				log.info("rightIds:{}",rightIds==null?"null":rightIds);
				log.info("token:{}",token==null?"null":token);

				res.put("rightIds", rightIds);

				// 将refresh_token缓存到redis
				String refreshToken=result.getString("refresh_token");

				if (StringUtils.isNotBlank(refreshToken)&&StringUtils.isNotBlank(token)){
					String redisKey="data:center:auth:logout:";
					stringRedisTemplate.opsForValue().set(redisKey+token,refreshToken,1, TimeUnit.DAYS);
				}

				// 记录登录日志
				MySchema mySchema = new MySchema();
				mySchema.setSchemaname(user.getSchemaname());
				mySchema.setTenantid(user.getTenantid());
				MySchemaHolder.setCurrentMySchema(mySchema);
				sysLogService.addSafetyLog(user, request);
				return new CallBackMessage(res);
			} catch (Exception e) {
				log.error(e.getMessage());
				log.info("sendRedirect4:{}",Configuration.getLoginUrl());
				response.sendRedirect(Configuration.getLoginUrl());
			}
		} else {
			log.info("sendRedirect4:{}",Configuration.getLoginUrl());
			response.sendRedirect(Configuration.getLoginUrl());
		}
		return new CallBackMessage("失败");
	}
钟良堂
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSO登录流程说明
soldierluo的专栏
11-21 1708
SSO 登入流程说明   1          访问web-1,验证token,不通过,跳转SSO验证 2          访问SSO,验证token,不通过,跳转SSO登录界面 3          SSO登录,验证用户名密码,通过,则写token到cookie,并跳转web-1(url携带SSO的token) 4          访问web-1 4.1         web-
sso登录ppt.ppt
10-30
sso登录ppt.ppt
前端实现登录SSO
Web面试那些事儿的博客
10-11 2397
1、一个系统登录流程:用户进入系统——未登录——跳转登录界面——用户名和密码发送——服务器端验证后,设置一个cookie发送到浏览器,设置一个session存放在服务器——用户再次请求(带上cookie)——服务器验证cookie和session匹配后,就可以进行业务了。2、多个系统登录:如果一个大公司有很多系统,a.seafile.com, b.seafile.com,c.seafile.com。这些系统都需要登录,如果用户在不同系统间登录需要多次输入密码,用户体验很不好。
java实现SSO login登录-签名验签(Authorization算法-HMAC-MD5)功能
junior77的专栏
09-14 1689
前段时间,某项目压测,需要验证SSO login功能接口。发现login请求中为了安全,使用了签名验签算法。 于是从开发那要过来算法API ,用java代码实现。方便根据签名验签,生成批量的url信息(保存到参数化文件中),供login接口直接使用。 authorization API局部内容: authorization = 签名+":"+时间戳 签名= Base64(HMAC-MD5(HTTP Method + HTTP Resource + TimeStamp + DATA, Ac...
登录(简化版)示例
最新发布
wenjianhai的专栏
05-21 269
即为模拟登录的代码,使用的是。服务端生成token令牌,调用业务系统(客户端)登录接口,同时跳转到业务系统页面。(2)/homepage/homepage 即为登录成功后,跳转的业务系统页面。本示例比常规的SSO登录少了授权码的相关逻辑。图中的“门户系统”即为服务端,业务系统即为客户端。也可自己写模拟登录的代码。本示例的代码框架基于。
登录认证系统前端实现方案
weixin_45559449的博客
03-02 2823
登录(Single Sign On),简称SSO。是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。采用OAuto2.0授权协议实现登录功能。本系统使用 Authorization Code授权码模式)来获取 访问令牌 (access_token)系统说明统一身份认证平台用于业务系统登录,身份认证管理后台对集成登录的业务系统进行管理,包含业务系统注册、修改、注销等功能业务系统自身需要集成登录,可涉及多个业务系统统一身份认证平台。
登录前端要做什么 前端如何实现登录解决登录问题
小白成长记
12-17 4551
登录sso,vue前后端分离,前端需要做什么,前端如何实现登录。 在监管系统登录以后,跳转A、B、C、D 系统可以实现免登录效果。 我们的项目打包后,默认地址一般都是重定向到首页,通过路由守卫验证登录信息是否有效,然后确定是打开首页,还是打开登录页,所以从父项目跳转到子项目不需要登录,就要做到子项目运行时,子项目的代码可以拿到代表子项目系统已经登录的验证信息token。 所以,前端要考虑的就是怎么把token从父项目带到子项目中。...
登录(SSO)看这一篇就够了
乌龟的专栏
03-13 9409
登录(SSO)看这一篇就够了
Spring Security基于JWT实现SSO登录详解
08-25
Spring Security 基于 JWT 实现 SSO 登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
SSO登录实例
10-10
一个简登录实例,提供完整的项目demo源码,实现过程简易懂,如有更简洁方式?请大家相互学习,不喜勿喷!
使用springboot结合vue实现sso登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
PHP 使用TP5.0 实现SSO登录
07-28
因为公司要实现SSO登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现了SSO登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
前端实现登录
一个小小白的博客
04-15 3159
问题概述 公司目前有几个使用Vue.js+Java开发的PC端项目,每个项目都有不同的服务器和独立的数据库和各自的登录界面,老板要我们给这几个项目做一个统一的登录入口,登录后点击某个项目链接能新开窗口跳转到该项目。其实就是实现登录,但是后端人员说几个项目都是各自独立的,无法做到常规的登录,只能重新写一个服务给一个登录接口返回所有项目的token,剩下的就需要我们前端处理了。 思路总结 查询资料后发现可以通过iframe+postMessage实现跨域的token递(注意,token在不同主域名的情
SSO 登录
pony的专栏
10-08 838
<br />登录SSO)的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了登录的需求和应用领域;从技术本身的角度分析了点登 录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解;还从安全和性能的角度对现有的实现技术进行进一步分析,指出 相应的风险和需要改进的方面。本文除了从多个方面和角度给出了对登录SSO)的全面分析,还并且讨论了如何将现有的应用和SSO服务结合起来,能够 帮助应用架构师和系统分析人员从本质上认识登录,从而更
模拟-前端登录SSO
qq_71214810的博客
08-02 185
前端登录(Single Sign On,简称 SSO)是一种身份验证机制,允许用户通过一次登录认证来访问多个相互信任的应用程序或网站,而无需在每个应用程序或网站中独进行身份验证。
《果然新鲜》电商项目(37)-SSO登录(改造SSO认证服务登录界面)
02-05 836
该项目是采用目前比较流行的`SpringBoot`/`SpringCloud`构建微服务电商项目,项目叫 **《果然新鲜》**,实现一套串联的微服务电商项目,能完全掌握该知识,可以在一线城市拿到月薪25+k薪资。 完全符合一线城市微服务电商的需求,对中国程序猿学习微服务电商架构,有非常大的帮助,该项目涵盖从微服务电商需求讨论、数据库设计、技术选型、互联网安全架构、整合`SpringCloud`各自组件、分布式基础设施、使`Docker+k8s+jenkins`实现微服务自动化部署、项目上线域名配置
不得不看的 vue登录 超级简
weixin_55528502的博客
01-30 2356
不得不看的 vue登录 超级简
sso登录(cas)
ASDFGQC的博客
06-21 317
本文主要讲解这个图具体实现暂无业务以后补充 整体将以游乐园为例子讲解WebBrowser我们将其称为游客 CASclient我们将其称为过山车 CASServer我们将其称为售票处1.首先游客到达了过山车,过山车询问并验证其票据 如果票据验证通过即可游玩,没有或者不通过进行第2步。2.游客票不正确,过山车告诉游客去售票处买票。接下来游客带着自己的信息过去,进行第3步。3.游客将相关物品给售票处,售票处检验。正确到第4步。4.检验正确,售票处将告诉游客过山车地址以及给予票据。之后第5步。5.游客带着票过来,过
SSO登录)介绍
jiezaizone的博客
04-28 6823
标签:sso iplas ##一、SSO登录)介绍 SSO英文全称Single SignOn,登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 ###实现机制 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登...
sso登录前端怎么做
09-18
SSO(Single Sign-On) 登录前端的实现主要有以下几个步骤: 1. 配置登录页:在前端应用中设置一个登录页,用于用户输入登录凭证,例如用户名和密码。 2. 发送登录请求:用户在登录页输入凭证后,前端应用将凭证发送给服务器端进行验证。可以使用Ajax或者form表提交来发送请求。 3. 验证登录凭证:前端应用将用户输入的凭证发送给服务器端,后端应用进行验证,通常通过对用户名和密码进行校验或者与后台数据库交互验证凭证的有效性。 4. 登录成功处理:如果凭证有效,服务器端会返回给前端应用一个Token,表示用户已经登录成功。前端应用可以将该Token保存在本地,通常使用浏览器的Cookie或者localStorage保存,以便后续的跨域登录验证。 5. 跨域登录验证:当用户访问其他需要登录权限的子系统时,前端应用需判断用户是否已经登录。可以通过读取本地保存的Token,或者发送请求到服务器端验证Token的有效性。 6. 登录状态维持:前端应用可以使用浏览器的Cookie或者localStorage保存Token,并设置过期时间。当Token过期时,前端应用需要重新发送登录请求验证用户的登录状态。 以上是SSO登录前端的基本实现步骤,实际应用中还需考虑安全性和用户体验等因素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值