1.Sa-Token-SSO 单点登录模块
什么是单点登录?解决什么问题?
举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。
单点登录——就是为了解决这个问题而生!
简而言之,单点登录可以做到: 在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。
架构选型
Sa-Token-SSO 由简入难划分为三种模式,解决不同架构下的 SSO 接入问题:
1.前端同域:就是指多个系统可以部署在同一个主域名之下,比如:c1.domain.com、c2.domain.com、c3.domain.com。
2.后端同Redis:就是指多个系统可以连接同一个Redis。PS:这里并不需要把所有项目的数据都放在同一个Redis中,Sa-Token提供了 [权限缓存与业务缓存分离] 的解决方案,详情戳: Alone独立Redis插件。
3.如果既无法做到前端同域,也无法做到后端同Redis,那么只能走模式三,Http请求获取会话(Sa-Token对SSO提供了完整的封装,你只需要按照示例从文档上复制几段代码便可以轻松集成)。
Sa-Token-SSO 特性
API 简单易用,文档介绍详细,且提供直接可用的集成示例。
支持三种模式,不论是否跨域、是否共享Redis、是否前后端分离,都可以完美解决。
安全性高:内置域名校验、Ticket校验、秘钥校验等,杜绝Ticket劫持、Token窃取等常见攻击手段(文档讲述攻击原理和防御手段)。
不丢参数:笔者曾试验多个单点登录框架,均有参数丢失的情况,比如重定向之前是:http://a.com?id=1&name=2,登录成功之后就变成了:http://a.com?id=1,Sa-Token-SSO内有专门的算法保证了参数不丢失,登录成功之后原路返回页面。
无缝集成:由于Sa-Token本身就是一个权限认证框架,因此你可以只用一个框架同时解决权限认证 + 单点登录问题,让你不再到处搜索:xxx单点登录与xxx权限认证如何整合……
高可定制:Sa-Token-SSO模块对代码架构侵入性极低,结合Sa-Token本身的路由拦截特性,你可以非常轻松的定制化开发。
2.搭建统一认证中心 SSO-Server
在开始SSO三种模式的对接之前,我们必须先搭建一个 SSO-Server 认证中心
1、添加依赖
<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.37.0</version>
</dependency>
<!-- Sa-Token 插件:整合SSO -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-sso</artifactId>
<version>1.37.0</version>
</dependency>
<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-redis-jackson</artifactId>
<version>1.37.0</version>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- 视图引擎(在前后端不分离模式下提供视图支持) -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- Http请求工具(在模式三的单点注销功能下用到,如不需要可以注释掉) -->
<dependency>
<groupId>com.dtflys.forest</groupId>
<artifactId>forest-spring-boot-starter</artifactId>
<version>1.5.26</version>
</dependency>
除了 sa-token-spring-boot-starter 和 sa-token-sso 以外,其它包都是可选的:
在 SSO 模式三时 Redis 相关包是可选的
在前后端分离模式下可以删除 thymeleaf 相关包
在不需要 SSO 模式三单点注销的情况下可以删除 http 工具包
建议先完整测试三种模式之后再对pom依赖进行酌情删减。
2、开放认证接口
/**
* Sa-Token-SSO Server端 Controller
*/
@RestController
public class SsoServerController {
/*
* SSO-Server端:处理所有SSO相关请求 (下面的章节我们会详细列出开放的接口)
*/
@RequestMapping("/sso/*")
public Object ssoRequest() {
return SaSsoProcessor.instance.serverDister();
}
/**
* 配置SSO相关参数
*/
@Autowired
private void configSso(SaSsoConfig sso) {
// 配置:未登录时返回的View
sso.setNotLoginView(() -> {
String msg = "当前会话在SSO-Server端尚未登录,请先访问"
+ "<a href='/sso/doLogin?name=sa&pwd=123456' target='_blank'> doLogin登录 </a>"
+ "进行登录之后,刷新页面开始授权";
return msg;
});
// 配置:登录处理函数
sso.setDoLoginHandle((name, pwd) -> {
// 此处仅做模拟登录,真实环境应该查询数据进行登录
if("sa".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return SaResult.ok("登录成功!").setData(StpUtil.getTokenValue());
}
return SaResult.error("登录失败!");
});
// 配置 Http 请求处理器 (在模式三的单点注销功能下用到,如不需要可以注释掉)
sso.setSendHttp(url -> {
try {
// 发起 http 请求
System.out.println("------ 发起请求:" + url);
return Forest.get(url).executeAsString();
} catch (Exception e) {
e.printStackTrace();
return null;
}
});
}
}
注意:
在setDoLoginHandle函数里如果要获取name, pwd以外的参数,可通过SaHolder.getRequest().getParam(“xxx”)来获取
在 setSendHttp 函数中,使用 try-catch 是为了提高整个注销流程的容错性,避免在一些极端情况下注销失败(例如:某个 Client 端上线之后又下线,导致 http 请求无法调用成功,从而阻断了整个注销流程)
全局异常处理:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 全局异常拦截
@ExceptionHandler
public SaResult handlerException(Exception e) {
e.printStackTrace();
return SaResult.error(e.getMessage());
}
}
3、application.yml配置
# 端口
server:
port: 9000
# Sa-Token 配置
sa-token:
# ------- SSO-模式一相关配置 (非模式一不需要配置)
# cookie:
# 配置 Cookie 作用域
# domain: stp.com
# ------- SSO-模式二相关配置
sso:
# Ticket有效期 (单位: 秒),默认五分钟
ticket-timeout: 300
# 所有允许的授权回调地址
allow-url: "*"
# ------- SSO-模式三相关配置 (下面的配置在使用SSO模式三时打开)
# 是否打开模式三
is-http: true
sign:
# API 接口调用秘钥
secret-key: kQwIOrYvnXmSDkwEiFngrKidMcdrgKor
# ---- 除了以上配置项,你还需要为 Sa-Token 配置http请求处理器(文档有步骤说明)
spring:
# Redis配置 (SSO模式一和模式二使用Redis来同步会话)
redis:
# Redis数据库索引(默认为0)
database: 1
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口
port: 6379
# Redis服务器连接密码(默认为空)
password:
forest:
# 关闭 forest 请求日志打印
log-enabled: false
注意点:sa-token.sso.allow-url为了方便测试配置为*,线上生产环境一定要配置为详细URL地址 (之后的章节我们会详细阐述此配置项)
4、创建启动类
@SpringBootApplication
public class SaSsoServerApplication {
public static void main(String[] args) {
SpringApplication.run(SaSsoServerApplication.class, args);
System.out.println("\n------ Sa-Token-SSO 认证中心启动成功");
}
}
访问统一授权地址(仅测试SSO Server部署是否成功访问localhost,测试SSO模式一到模式三建议按照对应文档的域名进行配置并访问):
可以看到这个页面目前非常简陋,这是因为我们以上的代码示例,主要目标是为了带大家从零搭建一个可用的SSO认证服务端,所以就对一些不太必要的步骤做了简化。
大家可以下载运行一下官方仓库里的示例/sa-token-demo/sa-token-demo-sso/sa-token-demo-sso-server/,里面有制作好的登录页面:
默认账号密码为:sa / 123456,先别着急点击登录,因为我们还没有搭建对应的 Client 端项目, 真实项目中我们是不会直接从浏览器访问 /sso/auth 授权地址的,我们需要在 Client 端点击登录按钮重定向而来。
现在我们先来看看除了 /sso/auth 统一授权地址,这个 SSO-Server 认证中心还开放了哪些API:SSO-Server 认证中心开放接口。
2.SSO-Server 认证中心开放接口
一、SSO-Server 认证中心接口
1、单点登录授权地址
http://{
host}:{
port}/sso/auth
接收参数:
2、RestAPI 登录接口
http://{
host}:{
port}/sso/doLogin
3、Ticket 校验接口
此接口仅配置模式三 (isHttp=true) 时打开
http://{
host}:{
port}/sso/checkTicket
返回值场景:
校验成功时:
{
"code": 200,
"msg": "ok",
"data": "10001" // 此 ticket 指向的 loginId
}
校验失败时:
{
"code": 500,
"msg": "无效ticket:vESj0MtqrtSoucz4DDHJnsqU3u7AKFzbj0KH57EfJvuhkX1uAH23DuNrMYSjTnEq",
"data": null
}
4、单点注销接口
http://{
host}:{
port}/sso/signout
此接口有两种调用方式
4.1、方式一:在 Client 的前端页面引导用户直接跳转,并带有 back 参数
例如:
http://{
host}:{
port}/sso/signout?back=xxx
用户注销成功后将返回 back 地址
4.2、方式二:在 Client 的后端通过 http 工具来调用
接受参数:
例如:
http://{
host}:{
port}/sso/signout?loginId={
value}×tamp={
value}&nonce={
value}&sign={
value}
将返回 json 数据结果,形如:
{
"code": 200, // 200表示请求成功,非200标识请求失败
"msg": "单点注销成功",
"data": null
}
如果单点注销失败,将返回:
{
"code": 500, // 200表示请求成功,非200标识请求失败
"msg": "签名无效:xxx", // 失败原因
"data": null
}
SSO 认证中心只有这四个接口,接下来让我一起来看一下 Client 端的对接流程:SSO模式一 共享Cookie同步会话
二、SSO-Client 应用端开放接口
1、登录地址
http://{
host}:{
port}/sso/login
2、注销地址
http://{
host}:{
port}/sso/logout
{
"code": 200, // 200表示请求成功,非200标识请求失败
"msg": "单点注销成功",
"data": null
}
3、单点注销回调接口
此接口仅配置模式三 (isHttp=true) 时打开,且为框架回调,开发者无需关心
http://{
host}:{
port}/sso/logoutCall
返回数据:
{
"code": 200, // 200表示请求成功,非200标识请求失败
"msg": "单点注销回调成功",
"data": null
}
3.SSO模式一 共享Cookie同步会话
1、设计思路
首先我们分析一下多个系统之间,为什么无法同步登录状态?
前端的 Token 无法在多个系统下共享。
后端的 Session 无法在多个系统间共享。
所以单点登录第一招,就是对症下药:
使用 共享Cookie 来解决 Token 共享问题。
使用 Redis 来解决 Session 共享问题。
所谓共享Cookie,就是主域名Cookie在二级域名下的共享,举个例子:写在父域名stp.com下的Cookie,在s1.stp.com、s2.stp.com等子域名都是可以共享访问的。
而共享Redis,并不需要我们把所有项目的数据都放在同一个Redis中,Sa-Token提供了 [权限缓存与业务缓存分离] 的解决方案,详情戳:Alone独立Redis插件。
加载动态演示图
OK,所有理论就绪,下面开始实战:
2、准备工作
首先修改hosts文件(C:\windows\system32\drivers\etc\hosts),添加以下IP映射,方便我们进行测试:
127.0.0.1 sso.stp.com
127.0.0.1 s1.stp.com
127.0.0.1 s2.stp.com
127.0.0.1 s3.stp.com
其中:sso.stp.com为统一认证中心地址,当用户在其它 Client 端发起登录请求时,均将其重定向至认证中心,待到登录成功之后再原路返回到 Client 端。
3、指定Cookie的作用域
在sso.stp.com访问服务器,其Cookie也只能写入到sso.stp.com下,为了将Cookie写入到其父级域名stp.com下,我们需要更改 SSO-Server 端的 yml 配置:
sa-token:
cookie:
# 配置 Cookie 作用域
domain: stp.com
这个配置原本是被注释掉的,现在将其打开。另外我们格外需要注意: 在SSO模式一测试完毕之后,一定要将这个配置再次注释掉,因为模式一与模式二三使用不同的授权流程,这行配置会影响到我们模式二和模式三的正常运行。
4、搭建 Client 端项目
搭建示例在官方仓库的
/sa-token-demo/sa-token-demo-sso/sa-token-demo-sso1-client/,如遇到难点可结合源码进行测试学习。
4.1、引入依赖
<!-- Sa-Token 权限认证, 在线文档:https://sa-token.cc -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.37.0</version>
</dependency>
<!-- Sa-Token 插件:整合SSO -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-sso</artifactId>
<version>1.37.0</version>
</dependency>
<!-- Sa-Token 整合redis (使用jackson序列化方式) -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-redis-jackson</artifactId>
<version>1.37.0</version>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- Sa-Token插件:权限缓存与业务缓存分离 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-alone-redis</artifactId>
<version>1.37.0</version>
</dependency>
4.2、新建 Controller 控制器
/**
* Sa-Token-SSO Client端 Controller
* @author click33
*/
@RestController
public class SsoClientController {
// SSO-Client端:首页
@RequestMapping("/")
public String index() {
String authUrl = SaSsoManager.getConfig().splicingAuthUrl();
String solUrl = SaSsoManager.getConfig().splicingSloUrl();
String str = "<h2>Sa-Token SSO-Client 应用端</h2>" +
"<p>当前会话是否登录:" + StpUtil.isLogin() + "</p>" +
"<p><a href=\"javascript:location.href='" + authUrl + "?mode=simple&redirect=' + encodeURIComponent(location.href);\">登录</a> " +
"<a href=\"javascript:location.href='" + solUrl + "?back=' + encodeURIComponent(location.href);\">注销</a> </p>";
return str;
}
// 全局异常拦截
@ExceptionHandler
public SaResult handlerException(Exception e) {
e.printStackTrace();
return SaResult.error(e.getMessage());
}
}
4.3、application.yml 配置
# 端口
server:
port: 9001
# Sa-Token 配置
sa-token:
# SSO-相关配置
sso:
# SSO-Server端-单点登录授权地址
auth-url: http://sso.stp.com:9000/sso/auth
# SSO-Server端-单点注销地址
slo-url: http://sso.stp.com:9000/sso/signout
# 配置 Sa-Token 单独使用的Redis连接 (此处需要和SSO-Server端连接同一个Redis)
alone-redis:
# Redis数据库索引
database: 1
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口
port: 6379
# Redis服务器连接密码(默认为空)
password:
# 连接超时时间
timeout: 10s
4.4、启动类
/**
* SSO模式一,Client端 Demo
*/
@SpringBootApplication
public class SaSso1ClientApplication {
public static void main(String[] args) {
SpringApplication.run(SaSso1ClientApplication.class, args);
System.out.println("\nSa-Token SSO模式一 Client端启动成功");
}
}
5、访问测试
启动项目,依次访问三个应用端:
http://s1.stp.com:9001/
http://s2.stp.com:9001/
http://s3.stp.com:9001/
6、跨域模式下的解决方案
如上,我们使用简单的步骤实现了同域下的单点登录,聪明如你??,马上想到了这种模式有着一个不小的限制:
所有子系统的域名,必须同属一个父级域名
如果我们的子系统在完全不同的域名下,我们又该怎么完成单点登录功能呢?
且往下看,SSO模式二:URL重定向传播会话
4.SSO模式二 URL重定向传播会话
1、设计思路
首先我们再次复习一下,多个系统之间为什么无法同步登录状态?
1.前端的Token无法在多个系统下共享。
2.后端的Session无法在多个系统间共享。
关于第二点,我们已在 “SSO模式一” 章节中阐述,使用 Alone独立R
最低0.47元/天 解锁文章
2863
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
