最近看了单点登录,总结一下自己的理解,还望大佬斧正。
说道单点登录,先解释几个名词。
令牌(token):随机生成的唯一字符串,方式多样,可以用uuid等。
session:会话,有全局会话和局部会话。
tomcat通过令牌创建会话,session是由tomcat在内存中管理的。
再说单点登录的架构,单点登录存在于集群架构中。由一个服务器专门负责session管理,所有登录都要经过这个服务器。
举例说明,3个tomcat服务器,tomcat分别命名为sso,order,goods(方便说明用).
sso是单点登录,order是订单系统,goods是商品系统。
sso创建的session叫做全局会话。
order,goods创建的会话叫局部会话。
下面所说的系统间的跳转都可以用重定向实现。
用户访问order系统,order系统发现没有session,就要跳转到sso,sso发现也没有session信息,就弹出登陆页面,用户输入用户名密码后,sso验证成功后,sso创建token令牌,并用令牌创建session,这个session是全局会话。同时跳转到订单系统此时携带token。order拿到token后,再次请求sso验证token有效性。sso返回验证成功,
则此时order根据令牌创建session,order创建的session叫局部会话。此后,用户可以与order正常交互,每次请求携带token信息。如果此时用户访问会员系统,goods根据用户的请求拿到token,发现本地没有session,就跳转到sso,sso根据token发现会话已经创建,就直接返回验证成功。goods收到正确返回后,根据token创建session(也是局部session),此后用户也可以与goods正确交互。哈哈,所谓单点登录简单来说就是登录一次,各个系统不需要重复登录,但又要保证系统安全性。
下面再说一下注销,用户在order,goods发出注销请求,都会先到sso,sso先将本地session注销掉,也就是全局会话销毁。然后向各个子系统发送注销指令,各个子系统将局部会话销毁完成。这里有一个问题,sso如何知道各个子系统的地址,原因在于子系统在创建局部会话之前,都要用token在sso验证。此时sso将各个子系统的地址记录下来。
再说sso的设计,sso可以将session放入redis中。每次请求的拦截可以用拦截器,过滤器实现。