实例详解:Java使用JWT和Redis实现高效单点登录(SSO)

已于 2023-10-25 17:06:36 修改
阅读量3.1k 收藏 19
点赞数 2
分类专栏: Java 文章标签: java redis bootstrap
于 2023-10-25 11:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/da_zhenzai/article/details/134031100
版权

前言

单点登录(Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis来实现SSO功能,并提供详细的Java代码实例。

一、实现单点登录的步骤

  1. 设计登录系统
    设计登录系统时,需要考虑如何通过登录信息验证用户身份,并生成令牌(Token),同时将Token保存在服务器端和客户端。

  2. 实现令牌传递和验证
    在用户通过登录系统进行登录和身份验证后,应用程序要将Token返回给客户端,由客户端在访问其他应用时携带Token进行验证。

  3. 支持跨域访问
    由于SSO需要支持不同的域名和端口之间的单点登录,所以应用程序需要支持跨域访问。传统的方式是使用Cookies来处理SSO,但如果采用Cookies,会有跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的安全问题。因此,在现代Web应用程序中,通常使用 JSON Web Token(JWT)或OAuth 2.0来实现单点登录和授权。

二、Java实现单点登录的代码示例

下面,我们给出一个基于Spring BootJWTRedis的Java实现单点登录的样例代码。

1.添加依赖

在我们的Spring Boot项目中,添加如下JWTRedis的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
    <groupId>redis.clients</groupId>
    <artifactId>jedis</artifactId>
    <version>3.7.0</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.11.2</version>
</dependency>

2.配置Redis连接:

application.properties文件中添加以下Redis连接信息:

spring:
  redis:
    host: localhost
    port: 6379
    password: your_pwd
    jedis:
      pool:
        max-active: 1024
        max-wait: 10000
        max-idle: 200
        min-idle: 10
    timeout: 10000
jwt:
  secret: your_secret_key
  token:
    expireTime: 3600

3.实现JWT Token工具类:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;

@Component
public class JwtTokenUtil {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.token.expireTime}")
    private Long expireTime;

    private final String TOKEN_CACHE_PREFIX = "token:";

    @Autowired
    private RedisTokenUtils redisTokenUtils;

    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("sub", username);
        claims.put("created", new Date());
        String token = Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();

        redisTokenUtils.setToken(TOKEN_CACHE_PREFIX + username, token);

        return token;
    }

    // 其他方法...

    // 注意事项:
    // - 加密密钥(secret)需要保密且足够复杂。
    // - JWT Token的有效期应根据实际需求进行设置。
}

4.实现Redis Token存储工具类:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.concurrent.TimeUnit;

@Component
public class RedisTokenUtils {

    @Value("${jwt.token.expireTime}")
    private Long expireTime;

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    public void setToken(String key, Object value) {
        redisTemplate.opsForValue().set(key, value, expireTime, TimeUnit.MINUTES);
    }

    public void deleteToken(String key) {
        redisTemplate.delete(key);
    }

    // 其他方法...

    // 注意事项:
    // - Redis的连接配置需要正确设置。
    // - Token的存储和删除应在合适的时机进行。
}

5. 实现登录逻辑:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class AuthService {

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    public String login(String username, String password) {
        // 验证用户名和密码的逻辑
        // ...

        String token = jwtTokenUtil.generateToken(username);
        return token;
    }
}

6. 实现登出逻辑:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class AuthService {

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    public void logout(String username) {
        jwtTokenUtil.deleteToken(username);
    }
}

三、注意事项

在使用JWT和Redis实现SSO时,需要注意以下事项:

  1. 密钥(secret)的安全性很重要,并应保密且足够复杂。比如:在生成Token时,使用合适的算法进行签名,以确保Token的安全性。验证Token时,需要使用相同的算法和密钥进行解密和验证。同时,还需要对Token的合法性进行校验,比如检查Token是否过期、是否被篡改等。
  2. 令牌的有效期应根据实际需求进行设置,过长的有效期可能会增加安全风险,而过短的有效期可能会导致频繁的重新登录。
  3. 在用户登出或注销操作时,应及时删除对应的令牌,以避免令牌被滥用。

总结

通过结合JWT和Redis,我们可以轻松实现单点登录(SSO)的功能。JWT用于生成和验证令牌,而Redis用于存储和管理令牌。JWT提供了一种轻量级的、无状态的身份验证机制,而Redis则提供了持久化存储和高性能的缓存功能。通过这样的组合,我们可以实现身份认证的高效和可靠,同时提供了可配置的令牌有效期功能,保证了系统的安全性。

热心码民阿振
关注
专栏目录
单点登录原理与简单实现
weixin_30851409的博客
11-29 8671
(2017-09-22更新)GitHub:https://github.com/sheefee/simple-sso 一、单系统登录机制 1、http无状态协议   web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系   但这...
Redis实现单点登录
WuCourage的博客
09-02 3万+
单点登录功能分析 请求的url:/user/login 请求的方法:POST 参数:username、password,表单提交的数据。可以使用方法的形参接收。 返回值:json数据,包含一个token。 业务逻辑: 登录的业务流程:登录的处理流程:1、登录页面提交用户名密码。 2、登录成功后生成token。Token相当于原来的sessionid,字符串,可以使用uuid。 3、把
JAVA单点登录详解
最新发布
qq_43062182的博客
09-04 1563
单点登录(Single Sign-On,简称SSO)是一种身份认证机制,允许用户在一个地方登录后,即可访问多个相关但独立的系统或应用程序,而不需要在每个系统中重新登录。Cookie存储在客户端,Session存储在服务器端。Session更安全,因为敏感信息不暴露给客户端。Cookie容易受到安全威胁,如XSS(跨站脚本攻击)。Cookie可以持久化保存到客户端,Session通常在会话结束或超时后失效。Cookie的大小有限,通常为4KB,而Session的数据容量则依赖于服务器的存储能力。
【实习日志】JWT + Redis 实现单点登录
放开这颗白菜让我来
06-16 3100
文章目录JWT + Redis 实现单点登录1、以前如何登录?2、JWT是什么?3、认证流程4、Token + Redis JWT + Redis 实现单点登录 模拟场景:实习好长时间,代码还没敲上,那得有所收获啊,虽然啥也没干,那我就胡诌一个吧,项目中要实现一个单点登录功能,虽然不是我敲的,那我说明白了,那这是不是就是我做的呢? 1、以前如何登录? 我们知道http协议是无状态的,有这样一个场景,我们购物的时候需要访问多个页面,加入购物车一个页面,那么在不同页面进行切换时,因为是无状态,那么就需要登录
看图理解JWT如何用于单点登录
weixin_34413802的博客
12-06 1041
单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT单点登录结合起来一起使用,尽量能把两种技术的优势都集成到项目中来。本文介绍我从CAS思考得出的SSO实现方案。 前言 ...
利用JWT Token配合Redis实现单点登录并进行Token的缓存验证唯一性
qq_51891433的博客
06-10 2926
以上为一个基础的使用Spring Boot、MyBatis、RedisJWT实现用户登录认证的完整示例。具体实现中可以根据需求进行更改和优化。
Java实现单点登录
01-12
java实现单点登录授权,认证,机制。值得一看的分享
单点登录SSO)、JWT、HTTP详解实例演示
BaiKnow的博客
02-07 3792
单点登录JWT) 作者:pox21s 1.HTTP 1.1 概述 超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求 - 响应协议,它通常运行在TCP之上。(1) 所谓的"协议"实际上就是双方约定好的"格式"让双方都能看得懂的东西,交互实际上就是"请求"和"响应"。 (1):在HTTP/3 使用的就是 UDP 协议 1.2 发展 HTTP/1.0 HTTP/1.0 成为最重要的面向事务的应用层协议。该协议对每一次请求/响应建立并拆除一次连接。默认
阿里资深架构师倾情力荐:Java 全线成长宝典,P5 到 P8 一应俱全
zhaohuodian的博客
08-31 488
我们要明白的一点是,程序员的 career 实际上是在混这个行业,而不是某个固定的公司,现在几乎不存一个工作做一辈子的情况,所以变数是比较大的,我们要做的就是随时准备好应对“变数”的方案。因此,不断更新自己的知识库,确保自己一定能保持在这个行业的头部,要具有忧患意识是非常重要的。以上所有学习笔记资料均能够分享给大家的,希望能够一起进步。...
java实例化和初始化的区别,看完没有不懂的
m0_56835488的博客
06-17 337
前言 作为一个有丰富经验的微服务系统架构师,经常有人问我,“应该选择RabbitMQ还是Kafka?” 基于某些原因, 许多开发者会把这两种技术当做等价的来看待。的确,在一些案例场景下选择RabbitMQ还是Kafka没什么差别,但是这两种技术在底层实现方面是有许多差异的。 不同的场景需要不同的解决方案,选错一个方案能够严重的影响你对软件的设计,开发和维护的能力。 这篇文章会先介绍RabbitMQ和Apache Kafka内部实现的相关概念。紧接着会主要介绍这两种技术的主要不同点以及他们各自的优缺点,最后我
Java知识点概览
qq_48403611的博客
08-03 3436
java后端开发常见面试题总结
最新java实现简单的单点登录
12-01
最新优化的,采用javaweb实现简单的单点登录,压缩包里添加了几个常用的几个例子,欢迎下载
spring+springmvc+Interceptor+jwt+redis实现sso单点登录.zip
07-17
spring+springmvc+Interceptor+jwt+redis实现sso单点登录.zip
JAVA实现单点登录功能
05-19
JAVA 实现单点登录功能 ! 包含 所有的详细文档 ! 试用手册值得学习
JAVA-WEB单点登录实例
08-20
这个DEMO是我手写,亲测能运行的项目,适合没有接触过单点登陆的新手,不足之处还请多多指教
JWT实现单点登录系统Demo
02-01
基于JWT实现单点登录系统,使用idea开发的,可以供学习参考,有什么问题可以咨询
《滚雪球学Spring Boot》教程导航帖(更新于2024.06.20)
热门推荐
**My Coding Family**
06-29 4万+
《滚雪球学Spring Boot》是由CSDN博主bug菌创作的全面Spring Boot教程。作者是全栈开发专家,在多个技术社区如CSDN、掘金、InfoQ、51CTO等担任博客专家,并拥有超过30万的全网粉丝。该教程分为入门篇和进阶篇,每篇包含详细的教学步骤,涵盖Spring Boot的基础和高级主题。
SpringSecurity学习,实现结合redisJWT实现单点登录
m0_57485150的博客
09-27 1620
springSecurity使用 实现登录验证。
Java实现单点登录SSO详解:从理论到实践
喔的嘛呀的博客
07-04 1478
单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整的Java代码实现实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。
Spring+SpringMVC+Interceptor+JWT+Redis:实战分布式SSO单点登录
在现代分布式应用中,实现单点登录(Single Sign-On,SSO)是一项关键任务,特别是在支持PC、移动APP(iOS和Android)等多种客户端时。本文将介绍如何利用Spring、Spring MVC、Interceptor、JWT(JSON Web Tokens)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

热心码民阿振

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值