SSO单点登录

最新推荐文章于 2021-11-21 23:34:31 发布
最新推荐文章于 2021-11-21 23:34:31 发布
阅读量364 收藏
点赞数
分类专栏: shiro 文章标签: SSOshiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobozai86/article/details/79221397
版权

1、单点登录

 登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各个子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任,再就是其他系统如何验证这个信任的有效性,因此要点也就是以下几个:

  • 存储信任
  • 验证信任

 一般来说,大型应用会把授权的逻辑与用户信息的相关逻辑独立成一个应用,称为用户中心。用户中心不处理业务逻辑,只是处理用户信息的管理以及授权给第三方应用。第三方应用需要登录的时候,把用户的登录请求转发给用户中心进行处理,用户处理完毕后返回凭证,第三方应用验证凭证,通过后就登录用户。

2、CAS

 CAS = Central Authentication Service,中央认证服务,是一款不错的针对Web应用的单点登录框架。SSO的解决方案很多,其中应用最为广泛的是CAS。
 CAS从结构上看包括两部分,CAS Server为需要独立部署的Web应用,CAS Client为非常多的客户端提供支持,这个客户端指单点登录系统中的各个Web应用。
CAS 原理和协议 
CAS Server 需要独立部署,主要负责对用户的认证工作; 
CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图是 CAS 最基本的协议过程:


CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket(服务票据,由 CAS Server发出用于标识目标服务) 
        如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。
        如果有,则说明当前用户已经登录,直接访问目的资源地址。  
用户输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(CAS会话标识)  
       CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份(核实)合适,以确保 Service Ticket 的合法性。 
      在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的,时序图如下所示。


3、CAS+shiro+Spring集成

Spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次。

系统模块:

  • cas:单点登录模块,字节下载cas server webapp war部署到tomcat的webapps下
  • spring-node-1:应用1
  • spring-node-2:应用2

系统部署架构图如下:


下载cas server webapp war部署到tomcat的webapps,作为认证中心,采用的是查数据库的方式来校验用户身份的,在cas/WEB-INF/deployerConfigContext.xml中第135行构建了这个类型。

<!-- 设置密码的加密方式,这里使用的是MD5加密 -->
    <bean id="passwordEncoder"
      class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
      c:encodingAlgorithm="MD5"
      p:characterEncoding="UTF-8" />

  <!-- 通过数据库验证身份,这个得自己去实现 -->
    <bean id="primaryAuthenticationHandler"
      class="com.distinct.cas.jdbc.QueryDatabaseAuthenticationHandler"
      p:dataSource-ref="dataSource"
      p:passwordEncoder-ref="passwordEncoder"
      p:sql="select password from t_user where account=? and status = 'active'" />
      
  <!-- 设置数据源 -->
     <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
          <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
          <property name="url" value="jdbc:mysql://127.0.0.1:3306/db_test?useUnicode=true&characterEncoding=utf8"></property>
          <property name="username" value="root"></property>
          <property name="password" value="123456"></property>  
  </bean>
其中QueryDatabaseAuthenticationHandler这个类是自定义构建的,在cas/WEB-INF/lib/cas-jdbc-1.0.0.jar里面,有兴趣的同学可以发编译看下,关于几个属性的说明:
dataSource: 数据源,配置MySQL的连接信息
passwordEncoder: 加密方式,这里用的是MD5
sql: sql查询语句,这个语句就是根据用户输入的账号查询其密码
启动本地tomcat访问登录页,输入用户名及密码:



应用系统采用shiro做权限控制,并且跟cas集成,使用shiro自带的shiro-cas作为sso-client,shiro配置如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:cache="http://www.springframework.org/schema/cache"
	xmlns:p="http://www.springframework.org/schema/p" xmlns:c="http://www.springframework.org/schema/c"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:aop="http://www.springframework.org/schema/aop"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
         http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
         http://www.springframework.org/schema/cache 
         http://www.springframework.org/schema/cache/spring-cache-4.0.xsd
         http://www.springframework.org/schema/context
         http://www.springframework.org/schema/context/spring-context-4.0.xsd">

	<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- 设定用户的登录链接,这里为cas登录页面的链接地址可配置回调地址 -->
		<property name="loginUrl" value="${shiro.loginUrl}" />
		<property name="filters">
			<map>
				<!-- 添加casFilter到shiroFilter -->
				<entry key="casFilter" value-ref="casFilter" />
				<entry key="logoutFilter" value-ref="logoutFilter" />
			</map>
		</property>
		<property name="filterChainDefinitions">
			<value>
				/shiro-cas = casFilter
				/logout = logoutFilter
				/users/** = user
			</value>
		</property>
	</bean>

	<bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
		<!-- 配置验证错误时的失败页面 -->
		<property name="failureUrl" value="${shiro.failureUrl}" />
		<property name="successUrl" value="${shiro.successUrl}" />
	</bean>

	<bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter">
		<!-- 配置验证错误时的失败页面 -->
		<property name="redirectUrl" value="${shiro.logoutUrl}" />
	</bean>

	<bean id="casRealm" class="com.spring.mybatis.realm.UserRealm">
		<!-- 认证通过后的默认角色 -->
		<property name="defaultRoles" value="ROLE_USER" />
		<!-- cas服务端地址前缀 -->
		<property name="casServerUrlPrefix" value="${shiro.cas.serverUrlPrefix}" />
		<!-- 应用服务地址,用来接收cas服务端票据 -->
		<property name="casService" value="${shiro.cas.service}" />
	</bean>

	<!-- Shiro's main business-tier object for web-enabled applications -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!-- <property name="sessionManager" ref="sessionManager" /> -->
		<property name="subjectFactory" ref="casSubjectFactory"></property>
		<property name="realm" ref="casRealm" />
	</bean>

	<bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory"></bean>



	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>


	<!-- <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> 
		<property name="globalSessionTimeout" value="3600000" /> <property name="sessionDAO" 
		ref="sessionDAO" /> </bean> -->

	<!-- <bean id="sessionDAO" class="com.distinct.web.session.redis.RedisSessionDAO"> 
		<property name="sessionTimeout" value="1800000" /> <property name="redisManager" 
		ref="redisManager" /> </bean> -->

	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

	<bean
		class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
		<property name="staticMethod"
			value="org.apache.shiro.SecurityUtils.setSecurityManager"></property>
		<property name="arguments" ref="securityManager"></property>
	</bean>

</beans>
参数配置: 
#localhost
shiro.loginUrl=http://127.0.0.1:8080/cas/login?service=http://127.0.0.1:8081/node1/shiro-cas

shiro.logoutUrl=http://127.0.0.1:8080/cas/logout?service=http://127.0.0.1:8081/node1/shiro-cas

shiro.cas.serverUrlPrefix=http://127.0.0.1:8080/cas

shiro.cas.service=http://127.0.0.1:8081/node1/shiro-cas

shiro.failureUrl=/users/loginSuccess

shiro.successUrl=/users/loginSuccess
node2的配置同上类似只是改了一下参数。启动node1,首先拦截访问请求,发现没有登录,跳转到登录地址,登录地址以上配置的是SSO认证中心,登录中心返回登录页,用户输入用户名及密码提交到登录中心验证,验证通过,跳转到应用的处理接收tokecn的Service地址。拦截器CASFilter拦截验证token,再去认证中心核实,通过则创建session建立连接。




用户登录成功之后,node2不用登录即可直接访问了。


参考:

https://www.cnblogs.com/ywlaker/p/6113927.html

https://www.cnblogs.com/coderhuang/p/5897444.html

波波仔86
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSO单点登陆
qq_41765182的博客
07-16 1309
SSO单点登录系统总结
sso单点登录
11-25
SSO单点登录技术是现代企业级应用架构中不可或缺的一部分,它通过统一的身份认证服务提升了用户体验,降低了运维复杂度。"Simple-SSO"项目为开发者提供了一个学习和实践SSO的平台,结合Maven的项目管理,使得分布式...
SSO - 单点登录
OY
11-21 1502
SSO - 单点登录 Single Sign On 一处登陆、处处可用 参考:https://gitee.com/xuxueli0323/xxl-sso.git 一、项目搭建 结构: gulimall-test-sso-client 登录服务器 8080 ssoserver.com gulimall-test-sso-client 项目1 8081 client1.com 127.0.0.1 ssoserver.com 127.0.0.1 client1.com 127.0.0.1 clien
sso单点登录
UnityAlvin
07-11 704
# 准备工作 修改windows的host文件 ``` # 测试sso 127.0.0.1 ssoserver.com 127.0.0.1 client1.com 127.0.0.1 client2.com ```
SSO 单点登录
热门推荐
憧憬的专栏
07-29 1万+
简介 SSO英文全称Single Sign On 单点登录是一种控制多个相关但彼此独立的系统访问权限的机制, 拥有这一权限的用户 可以使用单一的ID和密码访问某个或多个系统从而避免使用不同的用户名或密码,或者通过某种配置无缝地登录每个系统, 它是目前比较流行的企业业务整合的解决方案之一,例如我们使用mis号登陆过公司的一个系统后,再登陆其他系统不用再次输入用户名和密码 单系统登录...
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt
使用springboot结合vue实现sso单点登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 单点登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 单点登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
PHP 使用TP5.0 实现SSO单点登录
07-28
因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现了SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
sso单点登录demo
03-14
这个“sso单点登录demo”是一个Java实现的示例,包含了三种不同的场景:相同域名、相同父类域名以及不同域名的SSO解决方案。 1. **相同域名的SSO** (`sso_same_domain`): 在同一域名下实现SSO,通常比较直接,因为...
SSO单点登录解决方案.doc
最新发布
09-04
SSO(Single Sign-On)单点登录是一种身份验证机制,允许...总的来说,SSO单点登录解决方案是现代企业IT环境中必不可少的组件,它提升了用户便利性,降低了管理成本,加强了安全性,并适应了SOA环境下的服务安全需求。
spring+springMvc简单实现SSO单点登录
03-02
利用springMvc 实现的简单的单点登录Demo,内含三个小Mavn项目分别是 1、认证中心SSOServer 2、子系统1SSOClient1 3、子系统2SSOClient2 文章请参考 http://blog.csdn.net/qq_31183297/article/details/79419222
sso单点登录代码
03-02
在本项目中,"sso单点登录代码"是基于CAS(Central Authentication Service)实现的,CAS是一个开源的SSO解决方案,它提供了一种集中式的身份验证服务,广泛应用于各种网络应用程序。 JDK版本要求大于1.7,这意味着...
SSO单点登录系统详解
"sso单点登录ppt.ppt" SSO单点登录系统是一种高效的身份验证解决方案,它允许用户只需登录一次即可访问多个相互信任的应用系统。这种技术在现代企业环境中非常常见,因为它能够提高用户体验,简化身份管理,并增强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值