SpringBoot应用如何以优雅的方式对接老旧SSO实现单点登录逻辑

已于 2023-04-17 11:59:42 修改
阅读量6.7k 收藏 5
点赞数 1
分类专栏: Spring Boot 文章标签: spring boot 架构 安全架构
于 2022-04-03 19:10:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendlytkyj/article/details/123938199
版权
本文介绍了如何在SpringBoot应用中对接旧版SSO系统,同时采用JWT进行身份验证。设计了登录前后的时序图,详细阐述了LoginFilter和JwtFilter的内部流程,确保在保持与旧SSO系统兼容的同时,实现更优雅的JWT认证方式。此外,提到了权限校验可以通过SpringSecurity进行,但具体实现未展开。
摘要由CSDN通过智能技术生成

目录

背景介绍

我们现在开发WEB应用最流行的框架就是SpringBoot,开发好的应用程序经常要接入企业内部的SSO系统,因为现在企业里面基本上都有自己的一套统一认证服务,企业开发的各个业务系统都对接这个统一认证服务,那么就可以实现企业内部的单点登录了。

统一认证服务经常也叫做SSO,有些SSO是很久以前开发的比较老旧,接入的方式可能也是利用浏览器的SessionCookie来实现。但是现在流行前后端分离,并且随着JWT的发展,前后端的交互更多喜欢采用JWT方式进行认证,JWT更加灵活,所以很受欢迎。

那么,有没有办法在对接老旧的基于SessionCookie方式的单点登录时,可以以更优雅的方式采用JWT方式进行实现呢?答案是肯定的。

本文前端使用front表示,后端使用back表示,统一认证服务使用sso表示。

设计思想

登录前的时序图

front back sso 前端发起一个请求(不带JWT) 自定义请求头URL_REFER:当前页面 https://back/helo-world back获取当前会话的coSessionId request.getSession(true).getId() back通过coSessionId获取用户信息 getSsoUser() 返回null 响应标准302,请求头Location sendRedirect(“https://sso/login.jsp”) 前端根据302重定向到Location地址 location.href="https://sso/login.jsp" 输入登录账号、密码进行登录 login() 登录成功回调back https://back/surl?ssoSessionId=xxx 通过coSessionId获取用户信息 getSsoUser(coSessionId) 返回SsoUser 生成JWT createJWT(coSessionId, ssoSessionId) 响应302,重定向到用户跳转登录前的页面 自定义请求头ACCESS_TOKEN: JWT sendRedirect(URL_REFER) location.href=URL_REFER front back sso

登录后的时序图

front back sso 请求头Authentication: JWT https://back/hello-world 校验JWT,得到coSessionId和ssoSessionId validateJwt() 通过coSessionId获取用户信息 getSsoUser(coSessionId) 返回SsoUser 执行hello-world业务逻辑 helloWorld() 200 {"result": "hello,world"} front back sso

back内部认证逻辑的设计

身份认证主要由2个Filter完成,一个处理登录逻辑的LoginFilter,一个处理JWT校验的JwtFilter,接下来分别讲讲两个Filter的内部流程设计

LoginFilter内部流程

sso
Y
N
Y
N
Y
N
Y
N
Y
N
Y
N
N
Y
当前会话已经登录?
重定向sso LoginServlet
end
回调back
登记coSeesionId有效
重定向登录页面
登录成功?
用户输入账号密码登录
回调back:带ssoSessionId
登记coSeesionId有效
start
请求path需要认证?
当前会话已经认证?
filterChain
请求带JWT?
获取当前会话coSessionId
请求带ssoSessionId
使用coSessionid+ssoSessionId获取SsoUser
使用coSession获取SsoUser
SsoUser是否为空
生成JWT
请求头或url参数获取URL_REFER
重定向URL_REFER:响应头带JWT

JwtFilter内部流程

sso
Y
N
Y
N
N
Y
N
Y
Y
N
Y
N
N
Y
当前会话已经登录?
重定向sso LoginServlet
end
回调back
登记coSeesionId有效
重定向登录页面
登录成功?
用户输入账号密码登录
回调back:带ssoSessionId
登记coSeesionId有效
start
请求path需要认证?
当前会话已经认证?
filterChain
请求带JWT?
响应403
校验JWT
JWT有效?
从JWT获取coSessionid+ssoSessionId
使用coSessionid+ssoSessionId获取SsoUser
SsoUser是否为空
context设置身份凭证

filter流程说明

  1. 前端所有请求设置自定义请求头URL_REFER,放前端当前所在页面,这个值用于重定向sso登录页面后,登录成功跳转用的。
  2. back请求sso获取SsoUser时,相当于sso对当前请求的一次合法性校验
  3. 如果sso校验通过,则返回SsoUser
  4. 否则,重定向到登录页面
  5. 登录成功后,back生成JWT,放入响应头中
  6. 后续前端请求带上JWTback校验JWT
  7. JWT校验通过后,得到sso需要的凭证
  8. 然后重复第2

权限校验

上面设计的两个Filter解决了前端的身份认证的问题,剩下还有一个权限校验的问题。 可以考虑使用Shiro框架或者Spring Security框架,既然我们是用SpringBoot开发,建议使用Spring Security,与SpringBoot衔接的可以更加的无缝。由于本文主要目的是针对老旧sso对接的问题进行设计,因此对权限的处理就不在这里展开叙述了,只简单的描述下基本的流程。
Y
N
start
SecurityFilter
有权限?
Controller
响应403

总结

第一次使用Markdown语法画时序图和流程图,花了整整一天的时间,在使用Markdown画图的过程中,总结了一些Markdown画图语法的使用心得

  • 要善于使用subgraph
  • 每一个subgraph相当于一个抽象,不仅可以帮助我们归纳整理不同模块之间的关系,对图形源码的可读性更高,维护成本更低
  • subgraph在使用的时候,本人的最佳实践是,给每一个subgraph取一个名字,比如sso,然后在subgraph体内设置一个起点和一个终点,并分别取名sso.startsso.over,这样可以对subgraph形成一个闭环,外部引用的时候只需要对接sso.startsso.over即可。由于设计思考的过程,会反复修改,当subgraph内部发生任何修改,对外部没有任何影响,达到了高内聚低偶合的目的
  • Markdownflowchart语法不能使用end做为node名字,及时end(xxx)也不行,因为在flowchart语法里面end是一个关键字,所以本文画图源码使用了over命名代替end也就是这个原因

Markdown还能画状态图、甘特图等更多图形,以后有机会再单独写一篇关于Markdown画图的文章,并把自己在画图过程中的心得分享给大家。

太空眼睛
关注
专栏目录
使用springboot结合vue实现sso单点登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 单点登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 单点登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
Spring Boot 如何实现单点登录SSO
u013749113的博客
09-25 4040
单点登录是一种身份验证机制,允许用户只需一次登录,即可在多个应用程序或服务之间访问资源,而无需在每个服务中重新输入凭证。这提供了更好的用户体验,同时提高了安全性,因为用户的凭证仅在一处验证。
SpringBoot实现SSO单点登录
qq_48819461的博客
10-25 3890
SpringBoot项目,Shiro安全框架集成KeyCloak实现SSO单点登录。最终实现的效果是可以KeyCloak登陆也可以本地登陆两种方式并存。 一、封装一个实体类 首先,因为要兼容两种登录方法,但是两种方式都要用shiro。所以自己创建了一个实体类,继承shiro的认证对象。在这个对象里面userRoles只有keycloak才有用,其它的两种登录方法都公用。里面有两个构造函数,在本地登录时调用第一个,然后创建的type是2,keycloak登录的时候调用的是第二个构造函数,type是1。如果你原
springBoot 定义未登录拦截
iframe引用页面在父类页面调用函数只刷新子页面方法
12-12 644
登录验证 @ApiOperation(value="用户登录验证",notes = "用户登录验证") @RequestMapping("loginUser") public String getUsers(String username,String password,HttpServletRequest request) { Enumeration<String> hea...
实战:Spring Boot实现SSO(Single Sign-On)单点登录
weixin_43709538的博客
01-19 2032
单点登录是一种身份验证服务,允许用户使用一组凭据登录一次,然后在多个应用程序中访问其他应用程序而无需重新进行身份验证。这样,用户只需一次登录即可访问整个应用生态系统,提高了用户体验并简化了身份验证过程。通过本文,我们学习了如何使用Spring Boot框架实现SSO单点登录。我们创建了一个简单的认证中心和一个服务提供者,并集成了多个服务提供者。这样,用户只需一次登录即可访问整个系统,提高了用户体验。
SpringBoot 集成cas5.3 实现sso单点登录
Tongyao
10-20 3745
什么是单点登录单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。 SSO单点登录访问流程主要有以下步骤: 访问服务:SSO客户端发送请求访问应用系统提供的服务资源。 定向认证:SSO客户端会重定向用户请求到SSO
SpringBoot整合SSO(single sign on)单点登录
08-19
SpringBoot整合SSO(single sign on)单点登录 单点登录(Single Sign-On,...SpringBoot整合SSO(single sign on)单点登录是一个非常重要的知识点,了解单点登录的原理和实现方式可以帮助开发者更好地实现单点登录功能。
基于SpringBoot和OAuth2的SSO单点登录与权限认证设计源码
最新发布
10-01
该源码项目为基于SpringBoot框架和OAuth2协议的SSO单点登录与权限认证解决方案,采用Java语言开发,并集成了JavaScript、CSS、HTML等多种前端技术。项目结构包含667个文件,其中涉及164个less文件、164个js文件、126...
基于springboot和redis实现单点登录
08-25
基于SpringBoot和Redis实现单点登录 单点登录(Single Sign-On,SSO)是指用户只需要登录一次,即可访问所有相关的应用系统,而不需要再次登录的机制。基于SpringBoot和Redis实现单点登录是当前热门的技术栈之一,...
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解 基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录SSO)的机制。在这种机制中,用户只需要登录一次,就可以访问多个应用服务器上的资源,而不需要再次...
SpringBoot实现基础的sso单点登录
w13369437728qy的博客
11-24 2200
springboot实现单点登录
Spring Boot总结(六):Spring Boot SSO
qq_36807862的博客
08-06 7689
Spring Boot总结(一):入门 Spring Boot总结(二):Spring Boot中使用数据库 Spring Boot总结(三):Spring Boot界面设计 Spring Boot总结(四):提高数据库访问性能 Spring Boot总结(五):安全设计 Spring Boot总结(六):Spring Boot SSO Spring Boot总结(七):使用分布式文件...
SpringBoot+CAS整合服务端和客户端实现SSO单点登录与登出快速入门上手
热门推荐
杨杨吖的博客
03-04 1万+
SpringBoot+CAS整合服务端和客户端实现SSO单点登录与登出快速入门上手
springboot第21集:SSO
程序员哆啦A梦,蓝胖子
05-10 476
单点登录单点登出支持跨域单点登录支持跨域单点登出前台站点:业务站点A,业务站点BSSO站点:登录,退出SSO服务:登录,登录状态,登出数据库,登录状态缓存在Redis登录时序图客户端,访问需要登录的页面,从业务站点,如果未从Cookie中获取AuthToken,跳转到登录页面,访问SSO站点,提交用户名,密码,验证用户登录的 SSO 服务,访问DB验证账号,保存登录状态 Redis,返回成功Red...
【学习笔记】:基于SpringBoot实现单点登录sso测试demo
Gzz130704的博客
08-10 2122
基于以上的测试结果,单点登录sso的整个流程就大致实现了,在这过程中,个人觉得有几个点非常重要:● ①、去认证服务登录的时候,一定要带上自己原来的路径,否则登录后也不知道返回到哪个地方。● ②、登录成功后,一定要在返回的时候,将token一并返回原地址,并且要指定浏览器在认证服务器的域名下保存一个cookie(sso_token)。● ③、用户在前往登录页时,先判断认证服务的域名下是否有sso_token的cookie,如果有,代表之前已经在其他资源中登录过,无需再次登录。
ruoyi通过oauth对接pig实现sso流程讲解
头发茂密的假程序猿
01-04 2674
讲解ruoyi对接pig项目实现单点登录的流程,主要就是oauth2的流程分析
总结:单点登录SSO
w2009211777的专栏
04-23 1999
单点登录(Single Sign-On,简称 SSO)是一种用户鉴权过程,允许用户在多个应用系统中使用单一的登录凭证(通常是用户名和密码)进行访问。它的基本原理是创建一种中央鉴权机制,用户登录一次后,无需在其他系统中再次进行身份验证即可访问这些系统的资源。:SSO 解决方案通常设有一个中央鉴权服务器(也称为身份提供者,Identity Provider,IdP),它负责管理用户身份和凭证。:连接到 SSO应用系统被称为服务提供者(Service Providers,SP)。
Spring Boot进阶(87):基于Spring Security实现单点登录SSO) | 超级详细,建议收藏
**My Coding Family**
04-17 2725
基于Spring Security实现单点登录SSO),一文带你学会。
SpringBoot整合OAuth2 实现单点登录 SSO
usa_washington的博客
02-29 1783
SSO
SpringBoot整合SSO单点登录实战教程
"SpringBoot整合SSO(singlesignon)单点登录技术详解" 在现代Web应用程序开发中,单点登录(Single Sign-On,简称SSO)是一种便捷的身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

太空眼睛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值