Java从零搭建一个单点登录系统

已于 2022-02-07 16:02:52 修改
阅读量1.4k 收藏 11
点赞数 2
分类专栏: springsecurity 文章标签: java memcached 数据库
于 2021-06-25 22:53:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZGL_cyy/article/details/118229919
版权

目录

1 单点登录业务介绍

点击查看详情:SSO单点登录介绍

1.1 单一服务器用户认证

在这里插入图片描述

缺点:单点性能压力,无法扩展

1.2 WEB应用集群session共享模式

在这里插入图片描述

解决了单点性能瓶颈。 问题:
1、多业务分布式数据独立管理,不适合统一维护一份session数据。
2、分布式按业务功能切分,用户、认证解耦出来单独统一管理。
3、cookie中使用jsessionId 容易被篡改、盗取。
4、跨顶级域名无法访问。

1.3 分布式SSO(single sign on)模式

在这里插入图片描述

解决 :
用户身份信息独立管理,更好的分布式管理。
可以自己扩展安全策略
跨域不是问题

缺点:
认证服务器访问压力较大。
业务流程图
在这里插入图片描述

2 认证中心模块搭建

2.1登录功能(生成token)

在这里插入图片描述

2.2 passport只负责认证和token的颁发

1、用接受的用户名密码核对后台数据库
2、将用户信息加载到写入redis,redis中有该用户视为登录状态。
3、用userId+当前用户登录ip地址+密钥生成token
4、重定向用户到之前的来源地址,同时把token作为参数附上。

2.3 核对后台登录信息+用户登录信息载入缓存

UserManageServiceImpl

public UserInfo login(UserInfo userInfo){
    String passwd = DigestUtils.md5Hex(userInfo.getPasswd());
    userInfo.setPasswd(passwd);

    UserInfo userInfoResult = userInfoMapper.selectOne(userInfo);
    if(userInfoResult!=null){

        String userInfoKey="user:"+userInfoResult.getId()+"info";

        Jedis jedis = redisUtil.getJedis();
        String userInfoJson = JSON.toJSONString(userInfoResult);
        jedis.setex(userInfoKey,UserConst.sessionExpire,userInfoJson);

        return userInfoResult ;
    }else{
        return null;
    }
}

2.4 生成token

JWT(Json Web Token) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT
最重要的作用就是对 token信息的防伪作用。 JWT的原理,
一个JWT由三个部分组成:公共部分、私有部分、签名部分。最后由这三者组合进行base64编码得到JWT。

在这里插入图片描述
1、公共部分
主要是该JWT的相关配置参数,比如签名的加密算法、格式类型、过期时间等等。
2、私有部分
用户自定义的内容,根据实际需要真正要封装的信息。
3、签名部分
根据用户信息+盐值+密钥生成的签名。如果想知道JWT是否是真实的只要把JWT的信息取出来,加上盐值和服务器中的密钥就可以验证真伪。所以不管由谁保存JWT,只要没有密钥就无法伪造。

base64编码,并不是加密,只是把明文信息变成了不可见的字符串。但是其实只要用一些工具就可以吧base64编码解成明文,所以不要在JWT中放入涉及私密的信息,因为实际上JWT并不是加密信息。

pom依赖 放到web-util中

2.5 制作 JWT的工具类(JwtUtil)

public class JwtUtil {

    public static String encode(String key,Map<String,Object> param,String salt){
        if(salt!=null){
            key+=salt;
        }
        JwtBuilder jwtBuilder = Jwts.builder().signWith(SignatureAlgorithm.HS256,key);

        jwtBuilder = jwtBuilder.setClaims(param);

        String token = jwtBuilder.compact();
        return token;

    }


    public  static Map<String,Object>  decode(String token ,String key,String salt){
        Claims claims=null;
        if (salt!=null){
            key+=salt;
        }
        try {
            claims= Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        } catch ( JwtException e) {
           return null;
        }
        return  claims;
    }
}

2.6 passport模块Controller示例

@RequestMapping(value ="login",method = RequestMethod.POST)
@ResponseBody
public String  login(UserInfo userInfo,HttpServletRequest httpServletRequest){
    String remoteAddr = httpServletRequest.getHeader("x-forwarded-for");
    String userId = userManageService.login(userInfo);
    if(userId==null){
        return "fail";
    }else{
        Map map=new HashMap();
        map.put("userId",userId);
map.put("nickName",userInfoResult.getNickName());
        String token = JwtUtil.encode(signKey, map, remoteAddr);
        return token;
    }
}

3 验证登录(token)功能,用jwt解析

在这里插入图片描述
功能:当业务模块某个页面要检查当前用户是否登录时,提交到认证中心,认证中心进行检查校验,返回登录状态、用户Id和用户名称。

3.1 思路

1、利用密钥和IP检验token是否正确,并获得里面的userId
2、用userId检查Redis中是否有用户信息,如果有延长它的过期时间。
3、登录成功状态返回。

3.2 代码示例

UserController

@RequestMapping(value ="verify",method = RequestMethod.POST)
@ResponseBody
public String verify(HttpServletRequest httpServletRequest){
    String token = httpServletRequest.getParameter("token");
    String curIp=httpServletRequest.getParameter("currentIp");
    Map<String, Object> map = JwtUtil.decode(token, signKey, curIp);
    JSONObject jsonObject=new JSONObject();
    String userId =(String) map.get("userId");
    boolean verify = userManageService.verify(userId);

    return  Boolean.toString(verify) ;

}

UserManageServiceImpl

public boolean verify(String userId){
    Jedis jedis = redisUtil.getJedis();
    String userInfoKey="user:"+userId+"info";
    Boolean exists = jedis.exists(userInfoKey);
    if(exists) {
        jedis.expire(userInfoKey, UserConst.sessionExpire);
    }
    return exists;
}

4 业务模块的登录检查(@注解与拦截器)

在这里插入图片描述
问题:
1 、由认证中心签发的token如何保存?保存到浏览器的cookie中
2 、难道每一个模块都要做一个token的保存功能? 拦截器
3 、如何区分请求是否一定要登录?自定义注解

4.1 加入拦截器(登录检查拦截器)

首先这个验证功能是每个模块都要有的,也就是所有web模块都需要的。在每个controller方法进入前都需要进行检查。可以利用在springmvc中的拦截器功能。
因为咱们是多个web模块分布式部署的,所以不能写在某一个web模块中,可以一个公共的web模块,就是web-util中。
位置:
在这里插入图片描述
首先自定义一个拦截器,继承成springmvc的HandlerInterceptorAdapter,通过重新它的preHandle方法实现,业务代码前的校验工作

@Configuration
public class WebMvcConfiguration extends WebMvcConfigurerAdapter{
    @Autowired
    AuthInterceptor authInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(authInterceptor).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

4.2 登录成功后跳转回来的处理

登录成功后写入cookie。

@Component
public class AuthInterceptor extends HandlerInterceptorAdapter


public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    String newToken = request.getParameter("newToken");
    if(newToken!=null&&newToken.length()>0){
        CookieUtil.setCookie(request,response,"token",newToken,WebConst.cookieExpire,false);
    }


    return true;
}
}

其中用到了CookieUtil的工具。代码如下:
主要三个方法:从cookie中获得值,把值存入cookie, 设定cookie的作用域。

4.3 CookieUtil工具类

public class CookieUtil {


    public static String getCookieValue(HttpServletRequest request, String cookieName, boolean isDecoder) {
        Cookie[] cookies = request.getCookies();
        if (cookies == null || cookieName == null){
            return null;
        }
        String retValue = null;
        try {
            for (int i = 0; i < cookies.length; i++) {
                if (cookies[i].getName().equals(cookieName)) {
                    if (isDecoder) {//如果涉及中文
                        retValue = URLDecoder.decode(cookies[i].getValue(), "UTF-8");
                    } else {
                        retValue = cookies[i].getValue();
                    }
                    break;
                }
            }
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return retValue;
    }


    public static   void setCookie(HttpServletRequest request, HttpServletResponse response, String cookieName, String cookieValue, int cookieMaxage, boolean isEncode) {
        try {
            if (cookieValue == null) {
                cookieValue = "";
            } else if (isEncode) {
                cookieValue = URLEncoder.encode(cookieValue, "utf-8");
            }
            Cookie cookie = new Cookie(cookieName, cookieValue);
            if (cookieMaxage >= 0)
                cookie.setMaxAge(cookieMaxage);
            if (null != request)// 设置域名的cookie
                cookie.setDomain(getDomainName(request));
            cookie.setPath("/");
            response.addCookie(cookie);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }



    /**
     * 得到cookie的域名
     */
    private static final String getDomainName(HttpServletRequest request) {
        String domainName = null;

        String serverName = request.getRequestURL().toString();
        if (serverName == null || serverName.equals("")) {
            domainName = "";
        } else {
            serverName = serverName.toLowerCase();
            serverName = serverName.substring(7);
            final int end = serverName.indexOf("/");
            serverName = serverName.substring(0, end);
            final String[] domains = serverName.split("\\.");
            int len = domains.length;
            if (len > 3) {
                // www.xxx.com.cn
                domainName = domains[len - 3] + "." + domains[len - 2] + "." + domains[len - 1];
            } else if (len <= 3 && len > 1) {
                // xxx.com or xxx.cn
                domainName = domains[len - 2] + "." + domains[len - 1];
            } else {
                domainName = serverName;
            }
        }

        if (domainName != null && domainName.indexOf(":") > 0) {
            String[] ary = domainName.split("\\:");
            domainName = ary[0];
        }
        System.out.println("domainName = " + domainName);
        return domainName;
    }
}

4.4 检查cookie中是否有token

要做的工作:

1.检查cookie中是否有token,如果有把cookie中的昵称取放入页面request属性中.
2.检查是否需要验证登录。
如果需要,调用认证模块接口
如果认证通过程序照常执行
如果认证不通过,跳转到登录页面。
3.检查是否是登陆页面跳转回来的,如果附带新的token则把token保存到cookie中。

AuthInterceptor

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
 

    String newToken = request.getParameter("newToken");
    if(newToken!=null&&newToken.length()>0){
        CookieUtil.setCookie(request,response,"token",newToken,WebConst.cookieExpire,false);
    }
        
//1 进行如果能从cookie把token取出来,进行解析,显示页面上。
String token = CookieUtil.getCookieValue(request, "token", false);
String userId=null;
if(token!=null){
    Base64UrlCodec base64UrlCodec=new Base64UrlCodec();
    //  两个“.”之间的部分是实际内容
    String  tokenForDecode= StringUtils.substringBetween(token, ".");

    byte[] tokenByte = base64UrlCodec.decode(tokenForDecode);
    String tokenJson=new String(tokenByte,"UTF-8");
    System.out.println("tokenJson = " + tokenJson);

    JSONObject jsonObject = JSON.parseObject( tokenJson);

    userId = jsonObject.getString("userId");
    String nickName = jsonObject.getString("nickName");

    request.setAttribute("nickName",nickName);
}


      
        return true;
    }
}

4.5 通过注@ LoginRequie解来检验方法是否需要验证

为了方便程序员在controller方法上标记,可以借助自定义注解的方式。
比如某个controller方法需要验证用户登录,在方法上加入自定义的@LoginRequie。
像这样

如果方法被加了注解,在拦截器中就可以捕捉到。
添加自定义注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginRequire {

    boolean autoRedirect() default true;
}

在拦截方法preHandle方法中继续添加,检验登录的代码。
//检查是否需要验证用户已经登录

HandlerMethod handlerMethod =(HandlerMethod) handler;
LoginRequire methodAnnotation = handlerMethod.getMethodAnnotation(LoginRequire.class);
if(methodAnnotation!=null){
    String currentIp = request.getHeader("x-forwarded-for");

    Map map=new HashMap();
    map.put("currentIp",currentIp);
    map.put("token",token);
    String result=null;
    if(token !=null) {
        result = HttpclientUtil.doPost(WebConst.VERIFY_URL, map);
    }
    if(result!=null&&result.equals("true")){
        request.setAttribute("userId",userId); //只有验证过才能取到userId
        return true;
    }else{
        if(methodAnnotation.autoRedirect()) {
String url = URLEncoder.encode(request.getRequestURL().toString(), "utf-8");

            response.sendRedirect(WebConst.LOGIN_URL + "?originUrl=" + url);
            return false;
}
    }
}

以上方法,检查业务方法是否需要用户登录,如果需要就把cookie中的token和当前登录人的ip地址发给远程服务器进行登录验证,返回的result是验证结果true或者false。如果验证未登录,直接重定向到登录页面。
以上使用到了一个自定义的HttpclientUtil工具类,放在gmall-common-util模块中。专门负责通过restful风格调用接口。
位置:

4.6 Http工具类(HttpclientUtil)

public class HttpclientUtil {

    public static String doGet(String url)   {
        // 创建Httpclient对象
        CloseableHttpClient httpclient = HttpClients.createDefault();
        // 创建http GET请求
        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = null;
        try {
            // 执行请求
            response = httpclient.execute(httpGet);
            // 判断返回状态是否为200
            if (response.getStatusLine().getStatusCode() == HttpStatus.SC_OK) {
                HttpEntity entity = response.getEntity();
                String result = EntityUtils.toString(entity, "UTF-8");
                EntityUtils.consume(entity);
                httpclient.close();
                return result;
            }
            httpclient.close();
        }catch (IOException e){
            e.printStackTrace();
            return null;
        }
        return  null;
    }



    public static String doPost(String url, Map<String,String> paramMap)   {
       // 创建Httpclient对象
        CloseableHttpClient httpclient = HttpClients.createDefault();
        // 创建http Post请求
        HttpPost httpPost = new HttpPost(url);
        CloseableHttpResponse response = null;
        try {
            List<BasicNameValuePair> list=new ArrayList<>();
            for (Map.Entry<String, String> entry : paramMap.entrySet()) {
                list.add(new BasicNameValuePair(entry.getKey(),entry.getValue())) ;
            }
            HttpEntity httpEntity=new UrlEncodedFormEntity(list,"utf-8");

            httpPost.setEntity(httpEntity);
            // 执行请求
            response = httpclient.execute(httpPost);

            // 判断返回状态是否为200
            if (response.getStatusLine().getStatusCode() == HttpStatus.SC_OK) {
                HttpEntity entity = response.getEntity();
                String result = EntityUtils.toString(entity, "UTF-8");
                EntityUtils.consume(entity);
                httpclient.close();
                return result;
            }
            httpclient.close();
        }catch (IOException e){
            e.printStackTrace();
            return null;
        }

        return  null;
    }
}
赵广陆
关注
专栏目录
【实战】从搭建SSO单点登录服务器 - CAS认证流程
Coding&Sharing
06-05 886
前言 因系统逐渐增多,各个业务系统间无法共享用户状态,每个系统都需要用户登录。这对于用户来说很不友好,于是需要搭建一个SSO单点登录服务器,来做统一的登录、注销。 写这个系列的文章有两个目的: 记录自己的学习过程 网上关于使用 Apereo CAS 来做单点登录的文章比较少,故想分享给大家 注:Apereo CAS文档及仓库参考为6.3.4 往期链接 什么是SSO? 什么是CAS? 一、CAS认证流程 通过前面的两篇文章已经了解到了什么是 SSO单点登录 以及什么是 CAS,这篇文章主要是详细.
java单点登录系统_单点登录系统实现
weixin_42253260的博客
02-16 728
单点登录系统实现基于SpringBoot今天的干货有点湿,里面夹杂着我的泪水。可能也只有代码才能让我暂时的平静。通过本章内容你将学到单点登录系统和传统登录系统的区别,单点登录系统设计思路,Spring4 Java配置方式整合HttpClient,整合SolrJ ,HttpClient简易教程。还在等什么?撸起袖子开始干吧!效果图:8081端口是sso系统,其他两个8082和8083端口模拟两个系统...
Java 单点登录开发教程(SSO)
01-08
详细阐述Java开发一个单点登录系统的原理和流程(SSO),文档为MD格式
开始搭建CAS
m0_60681411的博客
02-06 3072
本文介绍了从开始搭建CAS框架的过程。
Java实现单点登录(SSO)详解:从理论到实践
最新发布
喔的嘛呀的博客
07-04 1335
单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整的Java代码实现。实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。
单点登陆的技术实现机制分析
WEBCODE
08-22 336
单点登陆的技术实现机制分析 2010-04-15 什么是单点登陆 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报...
关于单点登录搭建
weixin_58276266的博客
03-16 2574
说明:此文档时关于单点登录的案例下载搭建数据库的链接以及接入外部系统等三部 生成http的配置 第二步
单点登录-系统搭建
weixin_30613343的博客
02-14 153
  之前说了单点登录系统的原理,这篇就来点硬货,说下单点登录一个系统是如何搭建的。  架构分析     表现层:提供手机客户端,或其他系统的调用       表现层的存在意义就是,提供给所有非本系统的其他系统进行登录。具体实现的思路就是,编写一个登录的接口(本系统使用RESTful风格的),让需要该服务的其他系统通过接口提交数据,并获得相应的返回。     服务层:系统内部的调用   ...
创建单点登录系统
GavinZhera的博客
01-11 216
待建
java如何实现单点登录 jcifs_JCIFS实现单点登录 | 学步园
weixin_39576104的博客
02-23 124
1。首先从http://jcifs.samba.org 这个站点下载 jcifs-1.3.2.jar包。2。把这个包放到相应的lib文件下面。3。对web.xml文件进行配置,添加如下内容NtlmHttpFilterjcifs.http.NtlmHttpFilterjcifs.http.domainController192.168.1.206jcifs.smb.client.domainDLHT...
Java进阶SSO单点登录技术CAS-快速上手与原理探究视频教程
06-09
本课程主要通过CAS来实现SSO,本教程会从最基本的基础知识讲起,由浅入深再到实战,完成多应用的单点登录功能。 本课程内容如下: 1、 什么是SSO和CAS 2、 CAS Server服务端和客户端的搭建和配置 3、 单点登录和单...
Java实现单点登录
01-12
java实现单点登录授权,认证,机制。值得一看的分享
JAVA实现单点登录功能
05-19
JAVA 实现单点登录功能 ! 包含 所有的详细文档 ! 试用手册值得学习
"java实现简单的单点登录"源码包
11-08
http://www.blogjava.net/xcp/archive/2010/04/13/318125.html 页面的源码地址无法访问,我在其他地方找到了。可以运行的三个简单应用,配置完成后可以实现单点登录,供初学者研究其原理。
java 单点登录.docx
06-27
单点登录(Single Sign-On,简称SSO)是一种让用户只需一次登录就能访问多个应用程序的技术。这种技术对于提高用户体验和安全性非常有用。在企业级应用中,特别是涉及到多个子系统的情况,SSO可以显著提升效率并简化...
sso/cas单点登录Java maven版 含服务端客服端
02-26
SSO(Single Sign-On)是单点登录的缩写,是一种网络用户身份验证的机制,允许用户在一次登录后访问多个应用系统而无需再次验证。CAS(Central Authentication Service)是SSO的一种实现,由耶鲁大学开发并开源,它...
cas java单点登录_(Java)CAS单点登录
weixin_35305499的博客
02-12 1157
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的 session 是无法解决的,我们需要使用相关的单点登录技术来解决。CAS 是 Yale 大学发起的一个开源项目,旨在为 ...
java cas单点登录_JAVA - 登录 单点登录 cas
weixin_42467960的博客
02-18 1258
CAS的大坑你跳过吗?2018-08-3010:59:05,415WARN[org.jasig.cas.util.SimpleHttpClient]-错误信息:2019-08-13 18:32:32,687 WARN [org.jasig.cas.util.SimpleHttpClient] - Common connection failures of this kind are ca...
Java版分布式微服务云开发架构 Spring Cloud+Spring Boot+Mybatis+ElementU之CAS SSO单点登录服务端环境搭建
m0_61571842的博客
11-15 206
1.因为是本地模拟sso环境,而sso的环境测试需要域名,所以需要虚拟几个域名出来,步骤如下: 2.进入目录C:\Windows\System32\drivers\etc 需要框架源码的朋友可以看我个人简介联系我 ​ 3.修改hosts文件 127.0.0.1 jeesz.cn 127.0.0.1 sso1.jeesz.cn 127.0.0.1 sso2.jeesz.cn 4.生成认证证书 注意:我们可以根据sso单点登录的架构图可以看到,在客户端和服务端进行交互的时候,是需要认证的,在这里...
SSO CAS单点登录搭建教程:从开始到实践
本篇教程详细介绍了如何进行SSO(Single Sign-On,统一身份验证)中的CAS(Central Authentication Service,集中认证服务)单点登录搭建过程。作者花费数小时精心准备,旨在帮助需要学习者掌握这一技术。教程适用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵广陆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值