sso单点登录的原理详解,及Shiro同时支持Session和JWT Token两种认证方式,和Session和JWT整合方案

最新推荐文章于 2022-03-25 03:22:13 发布
最新推荐文章于 2022-03-25 03:22:13 发布
阅读量1.1k 收藏 1
点赞数 3
分类专栏: # jwt认证 # shiro 网络攻防(xss,CSRF/XSRF)安全策略 文章标签: sso单点登录的原理详解 Shiro与Session整合 Shiro与JWT整合 Session和JWT整合 sso单点登录的实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/as4589sd/article/details/119882633
版权
本文深入讲解了SSO单点登录的原理,包括认证流程和实现步骤,特别讨论了Shiro如何同时支持Session和JWT Token认证。文中详细介绍了Shiro的默认访问步骤,并阐述了如何自定义AccessControlFilter和Realm实现JWT Token的访问控制。此外,还涵盖了密码加密、JWT Token刷新机制以及系统配置。最后,文章提供了单点注销的流程,并总结了JWT与Session登录的异同及整合方案。
摘要由CSDN通过智能技术生成

1.    单点登录是什么?

单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。

 

2.    单点登录的原理

相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。

 

3.    单点登录的实现

由于手机端不能存cookie,所以传统的session存储登录信息的登录方式(后面简称session登录)不能用,所以需要一个既支持session登录后访问有访问权限控制的url,又支持无状态化token方式的认证。
对于无状态话的token认证,目前比较流行的是JWT token。
由于我们使用的Shiro认证授权框架,Shiro默认实现的是基于Session的认证和授权,为了实现同时支持Session和JWT Token两种认证方式,需要在了解Shiro认证授权框架的集成上实现JWT token的访问控制逻辑。

3.1.    认证流程

针对用户需求和安全需求,需要实现以下几种场景的认证。

 

  1. 基于浏览器的Session认证方式,需要实现多个web应用之间的SSO。
  2.  移动端基于JWT Token的无状态认证,需要考虑token的足够安全和token的自动刷新(因为移动端不能因为token的过期,而中断应用导致用户体验差)
  3. 由前端发起,后端微服务之间的调用,由于这种调用关系,微服务之间会进行session的共享,可以通过cookie来实现SSO
  4. 来自于内部的一些服务,比如定时的Point service,由于它无Session,因此对于这种服务,系统会内置一个系统用户,再以JWT Token的方式进行认证。

 
上面红色连接线表示基于JWT Token的Mobile App认证方式,蓝色连线表示基于Session的登录方式。其中内部定时器或者服务也是基于JWT Token认证方式,只是需要内置一些系统用户。 

3.2.    实现步骤

3.2.1.    Shiro默认访问步骤

 

场景一、访问登录请求

比如我们常见会定义一个/login的请求,接受用户名和密码参数(一般密码都会加盐hash)。对于这种请求,Shiro会执行以下的两步逻辑。

 

  1.  在代码里会写到获取Shiro的Subject,创建一个token,通常是UsernamePasswordToken,将请求参数的账户密码填充进去,然后调用subject.login(token)
  2. 接下来到支持处理这个token的realm中调用 realm doGetAuthenticationInfo 鉴权,鉴权后,session中就存有你的登录信息了

场景二、访问普通API

 

  1. 到 Shiro 的 PathMatchingFilter preHandle 方法判断一个请求的访问权限是可以直接放行还是需要 Shiro 自己实现的AccessControlFilter 来处理访问请求
  2. 假设到了 AccessControlFilter 实现类,首先在 isAccessAllowed 判断是否可以访问,如果可以则直接放行访问,如果不可以则到 onAccessDenied 方法处理,并继续调用 realm doGetAuthorizationInfo 授权判断是否有足够的权限来访问
  3. 假设有足够的权限的话就访问到自己定义的 controller了

3.2.2.    支持JWT Token访问

Shiro默认支持的是Session认证方式,为了支持JWT Token认证方式,需要实现 AccessControlFilter 来修改控制访问的逻辑。需要完成的工作有以下方面:

 

  1.  [自定义实现AccessControlFilter (JWTAuthcFilter)]
  2. [Shiro的过滤链上添加自定义的]
  3. [自定义realm(JWTShiroRealm][),不用账户密码登录鉴权(UsernamePasswordToken),而使用自定义的token(JWTToken]
  4. [自定义一个token(TokenRealm),存储参数和加密参数等]
  5. 增加一个JWTTokenRefreshInterceptor来拦截请求,检测是否需要刷新token

3.2.3.    实现详情

 

具体见代码,分别是JWTAuthcFilter,JWTPrincipal,JWTTokenRefreshInterceptor,JWTWebMvcConfigurer,ShiroConfig,JWTToken等。
 

  • JWTAuthcFilter
import com.google.common.base.Strings;
import lombok.AllArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.subject.Subject;import org.apache.shiro.web.filter.AccessControlFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Slf4j@AllArgsConstructor
public class JWTAuthcFilter extends AccessControlFilter {

    private final String headerKeyOfToken;

    private final JWTUserAuthService userAuthService;

    private final boolean isDisabled;


    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if(isDisabled){
            log.info("Shiro Authentication is disabled, hence  can access api directly.");
            return true;
        }else{
            log.info("Shiro Authentication is enabled, to continue to execute onAccessDenied method");
        }

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        // 登录状态判断
        log.info("onAccessDenied......");
        Subject subject = getSubject(request, response);
        if (subject.isAuthenticated()) {
            return true;
        }

        //从header或URL参数中查找token
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader(headerKeyOfToken);
        if (Strings.isNullOrEmpty(authorization)) {
            authorization = req.getParameter(headerKeyOfToken);
        }
        JWTToken token = new JWTToken(authorization);
        try {
            getSubject(request, response).login(token);
        } catch (Exception e) {
            log.error("认证失败:" + e.getMessage());
            this.userAuthService.onAuthenticationFailed((HttpServletRequest) request, (HttpServletResponse) response);
            return false;
        }
        return true;

    }}

  • JWTPrincipal
import lombok.Data;

@Datapublic class JWTPrincipal {

    private String account;

    private int userId;

    private long expiresAt;

}
  • JWTWebMvcConfigurer
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Slf4j@Configura
最低0.47元/天 解锁文章
阿啄debugIT
关注
专栏目录
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3955
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
手牵手带你整合Shiro+JWT实现认证功能
小咸白鱼的博客
11-23 7736
需要对 shirojwt 有一定的了解。 ShiroJWT的区别 ​ 整合之前需要清楚ShiroJWT的区别。 首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生成token的机制,需要我们自己编写相关的生成逻辑。 其次Shiro可以对权限进行管理,JWT在权限这部分也只能封装到token中,需要我们自己实现处理逻辑。 最后 Shiro是基于session保持会话 的,也就是说是有状态的。而JWT则是无状态的(服务端不保存session,而是生成t.
Shiro实现sessionjwt认证共存【补充篇】
bbq烤鸡的后宫
03-25 2195
Shiro实现session和无状态token认证共存【补充篇】前言难点解决禁用session管理 前言 前文 Shiro实现session和无状态token认证共存 不够完善,补充一些难点的解决。 难点解决 禁用session管理 官方文档 https://shiro.apache.org/session-management.html#SessionManagement-SessionsSubjectState-HybridApproach 解疑:经过重复试验,在多realm共存的情况下,禁用ses
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求状态(0:失败;1:成功) messageCode int 详情请移步错误码page message String 提示信息 result Object 结果集 获取token POST /shiro/auth/token 输入参数 必须 类型 中文描述 applicationKey yes String 需要登录的项目key userName yes String 用户名 password yes String 密码 返回Result 类型 中文描述 token String 使用JWT生成的Token 请求示例 cu
Shiro整合SSO单点登录系统
热门推荐
MrCao杰罗尔德的博客
11-14 4万+
前言shiro是一个非常强大的权限管理框架,关于shiro与cas整合的示例有很多,但是我们平时开发的时候,很多公司并不是使用cas来做SSO的,而是自己公司会用自己开发的。本文就主要针对这种方式整合。新增SSO相关的properties#sso服务器登录地址,service参数表示登录成功后要跳转的地址 ssoServiceUrl=http://www.authserver.com/auth/l
整合Shiro SessionJWT登录
zollty的专栏
08-26 1485
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。 JWT登录原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证成功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
SpringBoot+shiro+JwtToken,多方式登录
dengcuol09165的专栏
08-14 1182
使用场景:用户使用手机号或密码登录后返回token,之后的请求的请求头带上token进行token鉴权。 一、依赖 <!-- aop --> <dependency> <groupId>org.springframework.boot</groupId> ...
基于JWT实现SSO单点登录流程图解
08-18
实现单点登录,需要两个部分:认证服务(sso-server)和应用服务器(应用A和应用B)。认证服务负责用户认证和授权,而应用服务器负责处理用户请求。 1. 认证服务(sso-server) 认证服务是单点登录的核心部分,...
单点登录sso-shiro-cas-maven
10-19
# sso-shiro-cas spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas: 单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的是MySQL5.0,数据库名为db_test 3. spring-node-1: 应用1 4. spring-node-2: 应用2 其中node1跟node2都是采用spring + springMVC + mybatis 框架,使用maven做项目管理 ## cas集成说明 1.首先采用的是查数据库的方式来校验用户身份的,在cas/WEB-INF/deployerConfigContext.xml中第135行构建了这个类型 ``` xml ``` 其中QueryDatabaseAuthenticationHandler这个类是自定义构建的,在cas/WEB-INF/lib/cas-jdbc-1.0.0.jar里面,有兴趣的同学可以发编译看下,关于几个属性的说明 1. dataSource: 数据源,配置MySQL的连接信息 2. passwordEncoder: 加密方式,这里用的是MD5 3. sql: sql查询语句,这个语句就是根据用户输入的账号查询其密码 #### 以上就是单点登录管理的主要配置 ## 应用系统的配置node1 1. 应用系统采用shiro做权限控制,并且跟cas集成 2. 在/spring-node-1/src/main/resources/conf/shiro.properties 文件中 ``` properties shiro.loginUrl=http://127.0.0.1:8080/cas/login?service=http://127.0.0.1:8081/node1/shiro-cas shiro.logoutUrl=http://127.0.0.1:8080/cas/logout?service=http://127.0.0.1:8081/node1/shiro-cas shiro.cas.serverUrlPrefix=http://127.0.0.1:8080/cas shiro.cas.service=http://127.0.0.1:8081/node1/shiro-cas shiro.failureUrl=/users/loginSuccess shiro.successUrl=/users/loginSuccess ``` 其中shiro.loginUrl 跟 shiro.logoutUrl的前面是cas验证的地址,后面的是我们应用系统的地址,这样配置的方式是为了在访问我们的应用系统的时候,先到cas进行验证,如果验证成功了,cas将重定向到shiro.successUrl 所表示的地址 3.在/spring-node-1/src/main/resources/conf/shiro.xml 文件中 ``` xml /shiro-cas = casFilter /logout = logoutFilter /users/** = user ``` > 其中shiroFilter这个类主要用于需要拦截的url请求,需要注意的是这个是shiro的拦截,我们还需要配置cas的过滤配置casFilter > casRealm这个类是需要我们自己实现的,主要用于shiro的权限验证,里面的属性说明如下 1. defaultRoles: 默认的角色 2. casServerUrlPrefix: cas地址 3. casService: 系统应用地址 最后我们还需要在/spring-node-1/src/main/webapp/WEB-INF/web.xml 文件中配置相关的过滤器拦截全部请求 ``` xml shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /* ``` ## 系统运行 1. 端口说明,cas:8080,node1:8081,node2:8082,大家可以采用maven提供的tomcat7插件,配置如下: ``` xml org.apache.tomcat.maven tomcat7-maven-plugin 2.1 8081 UTF-8 tomcat7 /node1 ``` 这样的配置,我们甚至都不需要配置tomcat服务器了,建议这种方式 2.各个模块的访问地址 > cas:http://127.0.0.1:8080/cas > node1:http://127.0.0.1:8081/node1 > node2:http://127.0.0.1:8082/node2 3.访问系统 > 输入 http://127.0.0.1:8081/node1/shiro-cas ,进入cas验证 > 输入用户名 admin,密码 admin@2015,验证成功后将会重定向到http://127.0.0.1:8081/node1//users/loginSuccess ,也就是node1系统的主页,里面的节点2代表的是node2系统的主页,你会发现我们不需要登录到node2系统就能访问其中的系统了
shiro实现单点登录
10-15
spring整合shirospring-data-redis和spring-session-data-redis通过shiro实现单点登录
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证。本项目基于SpringBoot框架,结合Shiro、pac4j和CAS,构建了一个完整的JWT认证中心,...
cas jwt shiro pac4j springboot认证中心sso完整项目
05-05
前后端分离模式下的cas + shiro + pac4j,cas作为认证中心,子应用采用shiro鉴权,通过pac4j与cas交互,返回jwt token,完整项目,基于springboot框架
SpringBoot中使用ShiroJWT认证和鉴权
qq_43842093的博客
12-12 1831
最近新做的项目中使用了shirojwt来做简单的权限验证,在和springboot集成的过程中碰到了不少坑。做完之后对shiro的体系架构了解的也差不多了,现在把中间需要注意的点放出来,给大家做个参考。 相对于spring security来说,shiro出来较早,框架也相对简单。后面会另起一篇文章对这两个框架做一个简单的对比。 Shiro的关注点 首先看一下shiro中需要关注的几个概念。 SecurityManager,可以理解成控制中心,所有请求最终基本上都通过它来代理转发,一般我们程序中不需要直
Shiro实现session和无状态token认证共存
bbq烤鸡的后宫
01-04 6508
默认shiro鉴权是基于session认证,也能实现无状态Web。项目改造成前后端分离时,在原有的session认证下扩展出一套无状态认证。将问题分离成以下几点 1、拦截无状态请求 2、实现多realm共存 一个realm处理原先的session认证 一个处理无状态认证 3、开启原先的session管理 禁用无状态请求的session管理 否则 一个浏览器同时存在两种请求时会。。。 建一个过滤器拦...
springboot shiro实现单点登陆SSO
qq_34709784的博客
08-27 1014
shiro 默认使用的是session 存储登录信息的,这对于单体应用来讲是没有什么问题的,但是对于分布式应用或者集群应用就行不通了,因为集群或者分布式系统 应用部署在不同的jvm 上,session不能共享。如果使用redis存储登录信息则可以解决这个问题,这里简单使用shiro-redis框架来实现这个功能 1.流程如下: 1.1.首先创建一个父工程shiroredisso <?xml version="1.0" encoding="UTF-8"?> ...
JWT结合Springboot+shirosessiontoken同时存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2598
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security JWT教程:SSO单点登录实战演示
本文将深入解析Spring Security如何结合JWT(JSON Web Tokens)实现Single Sign-On (SSO) 单点登录功能。首先,让我们了解一下什么是SSOSSO是一种用户管理技术,允许用户在一个应用或系统中进行身份验证后,在其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿啄debugIT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值