session共享和单点登录

最新推荐文章于 2024-06-18 22:09:30 发布
最新推荐文章于 2024-06-18 22:09:30 发布
阅读量300 收藏
点赞数 1
分类专栏: 分布式 文章标签: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Markland_l/article/details/115939274
版权

登陆测试

  • sso-session
    • login接口
    • LoginFilter过滤
      • 不拦截/toLogin和/login,其余的路径都要拦截
      • 通过LoginConfig类将一个LoginFilter配置到FilterRegistrationBean上
    • 显示cookie插件,editthiscookie

分布式环境下的难点

  • 1.用户登陆了tomcat1,不要重复去登陆tomcat2
  • 2.用户登陆tomcat1生成的用户信息,tomcat2如何知道–校验权限
    • 用一个单独的服务去保存session信息,可以通过redis
  • 3.用户在tomcat1注销后,tomcat3要及时得到注销

用redis保存session

  • 1.第一次request.getSession时,去redis内取值
  • 2.response返回数据时,推送session到redis内
  • 3.成熟的框架,spring-session

怎么修改request和response

  • SessionFilter-MyRequestWrapper

    • session_support项目,重置servlet中的request和response,LoginFilter.doFilter方法里面通过filterChanin.doFilter(myRequestWrapper,serviceResponse)

    • package com.enjoy.session;

import com.enjoy.utils.CookieBasedSession;
import org.springframework.data.redis.core.RedisTemplate;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

/**
 * Created by Peter on 2018/8/15.
 * request包装类
 */
public class MyRequestWrapper extends HttpServletRequestWrapper {
    private volatile boolean committed = false;
    private String uuid = UUID.randomUUID().toString();

    private MySession session;
    private RedisTemplate redisTemplate;

    public MyRequestWrapper(HttpServletRequest request,RedisTemplate redisTemplate) {
        super(request);
        this.redisTemplate = redisTemplate;
    }

    /**
     * 提交session内值到redis
     */
    public void commitSession() {
        if (committed) {
            return;
        }
        committed = true;

        MySession session = this.getSession();
        if (session != null && null != session.getAttrs()) {
            redisTemplate.opsForHash().putAll(session.getId(),session.getAttrs());
        }
    }

    /**
     * 创建新session
     * @return
     */
    public MySession createSession() {

        String sessionId = CookieBasedSession.getRequestedSessionId(this);//从页面传来的
        Map<String,Object> attr ;
        if (null != sessionId){
            attr = redisTemplate.opsForHash().entries(sessionId);
        } else {
            System.out.println("create session by rId:"+uuid);
            sessionId = UUID.randomUUID().toString();
            attr = new HashMap<>();
        }

        //session成员变量持有
        session = new MySession();
        session.setId(sessionId);
        session.setAttrs(attr);

        return session;
    }

    /**
     * 取session
     * @return
     */
    public MySession getSession() {
        return this.getSession(true);
    }

    /**
     * 取session
     * @return
     */
    public MySession getSession(boolean create) {
        if (null != session){
            return session;
        }
        return this.createSession();
    }

    /**
     * 是否已登陆
     * @return
     */
    public boolean isLogin(){
        Object user = getSession().getAttribute(SessionFilter.USER_INFO);
        return null != user;
    }

}

    • redis中用hash存的

    • 自己也要自定义一个MySession,其中有一个attrs的字段,是一个Map<String,Object>

测试session共享

  • 启动sessionA和sessionB

    • 在pom文件中引入

      <dependency>
    <artifactId>session_support</artifactId>
    <groupId>com.enjoy</groupId>
    <version>1.0</version>
</dependency>

    • 新增一个配置类

      package com.enjoy.config;

import com.enjoy.session.SessionFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.RedisTemplate;

/**
 * Created by Peter on 2018/8/15.
 */
@Configuration
public class SessionConfig {

    //配置filter生效
    @Bean
    public FilterRegistrationBean sessionFilterRegistration(SessionFilter sessionFilter) {

        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(sessionFilter);
        registration.addUrlPatterns("/*");
        registration.addInitParameter("paramName", "paramValue");
        registration.setName("sessionFilter");
        registration.setOrder(1);
        return registration;
    }

    //定义过滤器组件
    @Bean
    public SessionFilter sessionFilter(RedisTemplate redisTemplate){
        SessionFilter sessionFilter = new SessionFilter();
        sessionFilter.setRedisTemplate(redisTemplate);
        return sessionFilter;
    }

}

    • 针对不是通过网关路由进来的,而是每个子服务都有自己域名的需要保证有共有的父域名,此时两个页面共享一个session,关键是需要共享一个sessionId,sessionId放在顶级域名下,sessionA和sessionB的二级域名请求时会自动带上父域名cookie里的sessionId信息

      • 同理对于APP而言,tokenId也跟这个sessionId可以做一样的处理

    • 把cookie设置到顶级域名

      • package com.enjoy.utils;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class CookieBasedSession{

    public static final String COOKIE_NAME_SESSION = "psession";

    public static String getRequestedSessionId(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
        if (cookies == null) {
            return null;
        }
        for (Cookie cookie : cookies) {
            if (cookie == null) {
                continue;
            }

            if (!COOKIE_NAME_SESSION.equalsIgnoreCase(cookie.getName())) {
                continue;
            }

            return cookie.getValue();
        }
        return null;
    }

    public static void onNewSession(HttpServletRequest request,
                             HttpServletResponse response) {
        HttpSession session = request.getSession();
        String sessionId = session.getId();
        Cookie cookie = new Cookie(COOKIE_NAME_SESSION, sessionId);
        cookie.setHttpOnly(true);
        cookie.setPath(request.getContextPath() + "/");
        cookie.setDomain("dev.com");
        cookie.setMaxAge(Integer.MAX_VALUE);
        response.addCookie(cookie);
    }

}

      • 一级域名dev.com和二级域名a.dev.com

        • 但是跨域了解决不了了

单点登录–不使用session共享

  • 通过页面重定向,把前端身份信息id进行互传
    • 1.A已经在a.com页面正常访问(已登录状态)
    • 2.A访问b.com页面,发现未登录,于是跳转login.cas.com去登陆,此时,在cas.com域名下有cookie
    • 3.login.cas.com服务经过校验,发现此cookie是有效的,直接返回success.cas.com页面和ticket
    • 4.success.cas.com页面发生302跳转,转回b.com页面并携带ticket值
    • 5.b.com服务器探测到此请求未登录,于是后端发ticket到cas.com校验,校验通过,则b.com种cookie到b.com域名下

测试sso-cas项目

  • cas-login

    • loginFilter不变

    • 在/login接口方法下生成一个ticket,保存下来,不仅是redis,然后重定向回原页面,并带上ticket值

      • @PostMapping("/login")
public void login(@ModelAttribute UserForm user,HttpServletRequest request,HttpServletResponse response) throws IOException, ServletException {
    System.out.println("backurl:"+user.getBackurl());
    request.getSession().setAttribute(LoginFilter.USER_INFO,user);

    //登陆成功,创建用户信息票据
    String ticket = UUID.randomUUID().toString();
    redisTemplate.opsForValue().set(ticket,user,20, TimeUnit.SECONDS);
    //重定向,回原url  ---a.com
    if (null == user.getBackurl() || user.getBackurl().length()==0){
        response.sendRedirect("/index");
    } else {
        response.sendRedirect(user.getBackurl()+"?ticket="+ticket);
    }
}

  • 登录过程

    • 1.a.com登录,发现是未登录
    • 2.会跳转到cas.com,自己输入信息登录成功,此网站后台有用户信息(ticket=userInfo)
    • 3.跳转回a.com?ticket=xxx
    • 4.b.com进页面,发现是未登录
    • 5.跳转cas.com(本来就是登录的),此网站后台有用户信息(ticket-userInfo),不用用户登录填信息
    • 6.跳转回b.com?ticket=xxx

  • cas-website

    • SSOFilter需要增加逻辑,通过ticket去拿userInfo

      • 看url上面是有ticket,如果有,从之前存储的地方取出用户信息,然后就不用登录了,并把用户信息set到session里面

      • package com.enjoy.utils;

import org.springframework.data.redis.core.RedisTemplate;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class SSOFilter implements Filter {
    private RedisTemplate redisTemplate;

    public static final String USER_INFO = "user";

    public SSOFilter(RedisTemplate redisTemplate){
        this.redisTemplate = redisTemplate;
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest,
                         ServletResponse servletResponse, FilterChain filterChain)
        throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;

        Object userInfo = request.getSession().getAttribute(USER_INFO);;

        //如果未登陆,则拒绝请求,转向登陆页面
        String requestUrl = request.getServletPath();
        if (!"/toLogin".equals(requestUrl)//不是登陆页面
            && !requestUrl.startsWith("/login")//不是去登陆
            && null == userInfo) {//不是登陆状态

            String ticket = request.getParameter("ticket");
            //有票据,则使用票据去尝试拿取用户信息
            if (null != ticket){
                userInfo = redisTemplate.opsForValue().get(ticket);
            }
            //无法得到用户信息,则去登陆页面
            if (null == userInfo){
                response.sendRedirect("http://cas.com:8080/toLogin?url="+request.getRequestURL().toString());
                return ;
            }

            /**
             * 将用户信息,加载进session中
             */
            request.getSession().setAttribute(SSOFilter.USER_INFO,userInfo);
            redisTemplate.delete(ticket);
        }

        filterChain.doFilter(request,servletResponse);
    }

    @Override
    public void destroy() {

    }

}

      • 觉得请求上带着ticketId不安全,一是可以redis中带失效时间,二是doFilter接口中取出用户信息就删除,只让登录一次

  • cas-website2

    • package com.enjoy.utils;

import org.springframework.data.redis.core.RedisTemplate;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class SSOFilter implements Filter {
    private RedisTemplate redisTemplate;

    public static final String USER_INFO = "user";

    public SSOFilter(RedisTemplate redisTemplate){
        this.redisTemplate = redisTemplate;
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest,
                         ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;

        Object userInfo = request.getSession().getAttribute(USER_INFO);;

        //如果未登陆,则拒绝请求,转向登陆页面
        String requestUrl = request.getServletPath();
        if (!"/toLogin".equals(requestUrl)//不是登陆页面
                && !requestUrl.startsWith("/login")//不是去登陆
                && null == userInfo) {//不是登陆状态

            String ticket = request.getParameter("ticket");
            //有票据,则使用票据去尝试拿取用户信息
            if (null != ticket){
                userInfo = redisTemplate.opsForValue().get(ticket);
            }
            //无法得到用户信息,则去登陆页面
            if (null == userInfo){
                response.sendRedirect("http://cas.com:8080/toLogin?url="+request.getRequestURL().toString());
                return ;
            }

            /**
             * 将用户信息,加载进session中
             */
            request.getSession().setAttribute(SSOFilter.USER_INFO,userInfo);
        }

        filterChain.doFilter(request,servletResponse);
    }

    @Override
    public void destroy() {

    }

}
Markland_l
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分布式Session共享单点登录实现
wzljiayou的博客
11-09 5076
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
第十天-单点登录系统、session共享
楚璃轩
06-27 1466
目录1. 单点登录系统分析1.1. 什么是SSO1.2. 原来的登录逻辑实现1.2.1. 问题1.2.2. 解决session共享问方案1.3 单点登录系统的流程2. SSO开发2.1. 系统架构2.2. 开发SSO服务2.2.1.1. 创建sso服务工程所需要的技术Pom.xmlweb.xml2.2.1.2框架整合SqlMapConfig.xmldb.propertiesresource.propertiesapplicationContext-dao.xmlapplicationContext
【01问:单点登录
最新发布
m0_73884922的博客
06-18 904
(Single Sign On,简称SSO),在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的应用系统。
单点登录session共享
m7788的专栏
08-13 475
最近所做的项目要分拆成2个网站,单点登录的问题就出来了。   首先想到的就是赫赫有名的CAS了,以前项目也用过,用起来还是挺简单的,不过总觉得大炮打蚊子的感觉,就像原来用的安全框架acegi,没别的要求还行,又点特别的需求,感觉这东西是太复杂,最后还是自己实现简单的权限管理了事。   想想单点登录应该也不难,是不是勤快一点自己造一简单的轮子,想圆就圆想方就方,也是很爽的,思考下,就目前的情况单点登...
实现单点登录的几种方式及原理
Isonion的博客
08-31 3707
单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。为什么需要做单点登录系统呢?在一些互联网公司中,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统。
单点登录三个方法及原理:共享Session、基于OpenId的单点登录、基于Cookie的OpenId存储方案
qq_32852017的博客
09-06 424
单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有不足,希望各位不吝赐教。   一、共享Session   共享Session可谓是实现单点登录最直接、最简单的方式。将用户认证
基于SpringBoot+Redis的Session共享单点登录详解
08-25
主要介绍了基于SpringBoot+Redis的Session共享单点登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot+MyBatis+SpringSession+Redis实现session共享单点登录
03-02
SpringBoot+MyBatis+SpringSession+Redis实现session共享单点登录开发实例
Spring session实现共享单点登录案例过程解析
08-18
实现共享单点登录,需要使用Spring session和Redis来存储session。首先,需要在pom.xml文件中添加依赖项: ```xml <groupId>org.springframework.session <artifactId>spring-session-data-redis <groupId>...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
cookie+session实现单点登录案例
04-13
总结,本案例旨在帮助你理解Cookie和Session如何协同工作来实现单点登录,以及如何与第三方社交平台集成,实现便捷的登录体验。通过学习和实践,你将能够构建自己的SSO系统,并具备处理复杂登录场景的能力。
基于Session共享的方式解决单点登录问题
wangpf2011的博客
06-20 1418
本文主要讲述集群环境下解决Session共享的问题,从而实现集群环境下的单点登录Session共享问题已经有很多解决方案,这里主要讲述常用四种方法。 Session Sticky Session Sticky(粘性) 保证同一个会话的请求都在同一个Web服务器上处理,这样就完全不需要考虑到会话问题了。比如负载均衡算法中哈希算法就是一个典型的Session Sticky实现手段。 这种实现方...
基于Session共享单点登录或通行证系统方案
陈海峰的博客
04-16 3029
本文主要描述如何基于Session共享实现单点登录。 假设有两个应用www.example.com, passport.example.com。本文以SpringSession和Redis来实现相关功能。 用户访问passport.example.com,输入用户名和密码认证成功后,在服务端建立会话,SESSIONID以cookie形式保存在根域example.com,用户访问www.exa
7.登录系统-单点登录问题-分布式session一致性(即session如何共享)的问题
郑学炜的技术博客
03-31 8462
session的概念 什么是session?   服务器为每个用户创建一个会话,存储用户的相关信息,以便多次请求能够定位到同一个上下文。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放...
单点登录实现(spring session+redis完成session共享
热门推荐
sniper007的专栏
03-02 1万+
一、前言 项目中用到的SSO,使用开源框架cas做的。简单的了解了一下cas,并学习了一下 单点登录的原理,有兴趣的同学也可以学习一下,写个demo玩一玩。 二、工程结构 我模拟了 sso的客户端和sso的服务端, sso-core中主要是一些sso需要的过滤器和工具类,缓存和session共享的一些XML配置文件,还有springmvc需要的一下jar包的管理。ss
单点登录系统(SSO)和Session共享解释
李响
09-03 1086
在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。 但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员 来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single Sign On,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。 如图所示,图
session 跟 cookie关系 ,session共享单点登录实现原理及实战
FOREVER_DO
08-24 4647
单点登录实现原理及实战
单点登录系统SSO中的session共享问题
sunzhiqiang6的博客
06-14 2717
什么是单点登录:SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。比如现在有:OA系统、门户系统、人力资源管理系统、档案管理系统、生产管理系统、xx系统等,这么多个系统。在一个公司里面,如果一个用户需要...
分布式集群项目中解决session共享实现单点登录SSO
kxj19980524的博客
01-14 2541
先说下为什么要实现session共享,因为在普通的web项目中是不需要考虑这点的,因为都在一个项目当中,但是当分布式或者集群的时候,相同的项目部署在不同的服务器上,这时候就需要考虑这个问题,因为假如一个用户,在tomcat1登录成功,这时候他刷新了一个页面,然后负载均衡服务器nginx把他分配到了tomcat2上的项目中,这个项目中是没有刚才登录成功的session的,但是人家明明登录成功了,这给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值