手撸SSO单点登录(四)登录验证-首次登录

已于 2022-05-15 00:07:25 修改
阅读量2.3k 收藏 5
点赞数 2
分类专栏: java web 文章标签: java 开发语言
于 2022-05-03 22:05:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiduo08/article/details/124558981
版权

一、目标

前一章节讲解了各应用未登录的系统统一跳转至SSO统一登录页面。当输入用户名、密码后点击登录流程是怎么实现的。这一章节的目标主要是讲解OA(这里代表client.sso.com:8082)经过统一登录后怎么回跳至OA页面。
配套视频地址https://www.bilibili.com/video/BV1SR4y1P7XJ/

二 、系统UML工程类图

在这里插入图片描述

三、代码实现

a. com.yuantai.controller.LoginController

@RequestMapping(method = RequestMethod.POST)
    public String login(
            @RequestParam(value = SsoConstant.REDIRECT_URI, required = true) String redirectUri,
            @RequestParam(value = Oauth2Constant.APP_ID, required = true) String appId,
            @RequestParam String username,
            @RequestParam String password,
            HttpServletRequest request, HttpServletResponse response) throws UnsupportedEncodingException {

        if(!appService.exists(appId)) {
            request.setAttribute("errorMessage", "非法应用");
            return goLoginPath(redirectUri, appId, request);
        }

        Result<SsoUser> result = userService.login(username, password);
        if (!result.isSuccess()) {
            request.setAttribute("errorMessage", result.getMessage());
            return goLoginPath(redirectUri, appId, request);
        }

        String tgt = sessionManager.setUser(result.getData(), request, response);
        return generateCodeAndRedirect(redirectUri, tgt);
    }

1、 输入(用户名、密码)点击登录,首次调用的是/login方法(SmartSsoConfig配置了无需拦截此url)
2、调用com.yuantai.session.TicketGrantingTicketManagersessionManager.setUser()

public String setUser(SsoUser user, HttpServletRequest request, HttpServletResponse response) {
        String tgt = getCookieTgt(request);
        if (StringUtils.isEmpty(tgt)) {
            // cookie中没有 生成一个tgt
            tgt = ticketGrantingTicketManager.generate(user);

            // TGT存cookie,和Cas登录保存cookie中名称一致为:TGC
            CookieUtils.addCookie(AppConstant.TGC, tgt, "/", request, response);
        }
        else if(ticketGrantingTicketManager.getAndRefresh(tgt) == null){
            ticketGrantingTicketManager.create(tgt, user);
        }
        else {
            ticketGrantingTicketManager.set(tgt, user);
        }
        return tgt;
    }

当进入if(StringUtils.isEmpty(tgt))判断时getCookieTgt(request)获取的tgt为空(/login登录只传了用户名与密码并无其他信息)所以此判断为true进去方法体代码中、此方法体作用如下:

  1. 生成一个管理端的登录凭证TGT
  2. 把凭证与用户信息存储内存Map(TGT,用户信息)
  3. 把凭证等信息放入Cookie中

3、调用com.yuantai.controller.BaseLoginControllergenerateCodeAndRedirect(redirectUri, tgt)方法

String generateCodeAndRedirect(String redirectUri, String tgt) throws UnsupportedEncodingException {
        // 生成授权码
        String code = codeManager.generate(tgt, true, redirectUri);
        return "redirect:" + authRedirectUri(redirectUri, code);
    }
  1. 生成临时授权码code,并把code与codeContent内容存入map(code,content内存)
  2. 后台发起重定向请求redirect:http://client.sso.com:8082/?code=code-2f243fd967e840288ddb089611cb31c8记住这里是后端的重定向请求(前端无url变动)与response.sendRedirect(loginUrl)(前端会看到url变动)

4、跳转到OA系统进入com.yuantai.filter.LoginFilter请求拦截、进入isAccessAllowed方法的if (code != null)方法体

@Override
    public boolean isAccessAllowed(HttpServletRequest request, HttpServletResponse response) throws IOException {
        SessionAccessToken sessionAccessToken = SessionUtils.getAccessToken(request);
        // 本地Session中已存在,且accessToken没过期或者refreshToken成功,直接返回
        if (sessionAccessToken != null && (!sessionAccessToken.isExpired()
                || refreshToken(sessionAccessToken.getRefreshToken(), request))) {
            return true;
        }
        String code = request.getParameter(Oauth2Constant.AUTH_CODE);
        if (code != null) {
            // 获取accessToken
            getAccessToken(code, request);
            // 为去掉URL中授权码参数,再跳转一次当前地址
            redirectLocalRemoveCode(request, response);
        }
        else {
            redirectLogin(request, response);
        }
        return false;
    }

第一个if (sessionAccessToken != null && (!sessionAccessToken.isExpired() || refreshToken(sessionAccessToken.getRefreshToken(), request)))因为第一次登录跳转sessionAccessToken 为null

5、 所以进入if (code != null)方法体

if (code != null) {
 // 获取accessToken
    getAccessToken(code, request);
    // 为去掉URL中授权码参数,再跳转一次当前地址
    redirectLocalRemoveCode(request, response);
}

1.进去 getAccessToken(code, request);方法

private void getAccessToken(String code, HttpServletRequest request) {
        Result<RpcAccessToken> result = Oauth2Utils.getAccessToken(getServerUrl(), getAppId(),
                getAppSecret(), code);
        if (!result.isSuccess()) {
            logger.error("getAccessToken has error, message:{}", result.getMessage());
            return;
        }
        setAccessTokenInSession(result.getData(), request);
    }

1.带着临时授权码code调用http://authentication.sso.com:8080/oauth2/access_token去认证中心获取用户信息、并且消费code后删除code信息(临时授权码只能生效一次)
2. 调用 setAccessTokenInSession(result.getData(), request);把登录信息存储到session中,记录session与token的映射关系

private boolean setAccessTokenInSession(RpcAccessToken rpcAccessToken, HttpServletRequest request) {
        if (rpcAccessToken == null) {
            return false;
        }
        // 记录accessToken到本地session
        SessionUtils.setAccessToken(request, rpcAccessToken);

        // 记录本地session和accessToken映射
        recordSession(request, rpcAccessToken.getAccessToken());
        return true;
    }

6、最后调用 redirectLocalRemoveCode(request, response);去掉授权码信息带着登录成功信息再次请求http://client.sso.com:8082/

/**
     * 去除返回地址中的票据参数
     * @param request
     * @return
     * @throws IOException
     */
    private void redirectLocalRemoveCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String currentUrl = getCurrentUrl(request);
        currentUrl = currentUrl.substring(0, currentUrl.indexOf(Oauth2Constant.AUTH_CODE) - 1);
        response.sendRedirect(currentUrl);
    }

总结

单点登录,资源都在各个业务系统这边,不在SSO那一方。 用户在给SSO服务器提供了用户名密码后,作为业务系统并不知道这件事。 SSO随便给业务系统一个ST,那么业务系统是不能确定这个ST是用户伪造的,还是真的有效,所以要拿着这个ST去SSO服务器再问一下,这个用户给我的ST是否有效,是有效的我才能让这个用户访问

代码下载方式

搜索微信公众号:攻城狮小章鱼 ,关注后 ,发SSO源码获取源代码
在这里插入图片描述

kiduo08
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端050_单点登录SSO_登录功能实现
细致-专业-实操
06-06 344
创建调用认证API接口文件 src/api/auth.js登录时,要在请求头带上客户端ID和客户端密码,并且在请求头指定数据格式// 数据格式 const headers = {// 请求头添加 Authorization: Basic client_id:client_secret const auth = {// 登录,获取 token 接口 export function login(data) {
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt
SSO单点登录(五)登录验证-OA系统页面刷新或者跳转新OA系统页面
kiduo08的专栏
05-08 1904
目标  上一章节SSO单点登录登录验证-首次登录已经成功登陆并且跳转至OA系统,当OA系统刷新,或者OA系统打开其他菜单是怎么实现无需登陆,直接验证通过,跳转页面或者刷新页面。 二 、系统UML工程类图 三、代码实现 a.当刷新OA系统页面的时候,进入com.yuantai.filter.LoginFilter请求拦截、进入isAccessAllowed方法 @Override public boolean isAccessAllowed(HttpServletRequest reque
SSO单点登录(一):序言
kiduo08的专栏
04-27 2807
基于Springboot、Oath2实现的sso单点登录系统
SSO单点登录(六)SSO单点退出原理
kiduo08的专栏
05-09 3997
目标 这一章节我们来一起学习,单点退出登录,是怎么让所有sso系统一起退出登录的。 视频详细讲解请见https://www.bilibili.com/video/BV1b5411d7be/ 源码下载地址:https://gitcode.net/kiduo08/yuantai-sso.git 时序图 当用户点击某一个系统的退出登录时候 统一的发起跳转到认证中心http://authentication.sso.com:8080/logout?redirectUri=http://client.sso.co
SSO单点登录(二):系统部署
kiduo08的专栏
04-28 2385
前言 以idea为例,导入并分别运行认证服务端和客户端,展示验证单点登录功能。 1.代码下载导入 从gitlab 克隆代码 https://gitcode.net/kiduo08/yuantai-sso.git idea 导入代码
sso 单点登陆 ,动sso单点登陆
qq2531246791的博客
08-21 337
1.创建 server  app1  app2 3个项目   项目结构如下 配置   认证中心和子系统的域名     单点模拟需要 修改 host 配置文件 2,server  端 代码  创建登陆验证拦截器 package com.lz.interceptor; import org.springframework.web.servlet.HandlerIntercept...
教你用代码实现 SSO 单点登录
架构文摘
07-17 237
1. 概述1.1. 什么是SSO?单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。1.2. 什么是CAS?随着SSO技术的流行,相关产品也比较多,其中CAS就是一套解决方案,CAS(Central Authenticati...
Java进阶SSO单点登录技术CAS-快速上与原理探究视频教程
06-09
本课程主要通过CAS来实现SSO,本教程会从最基本的基础知识讲起,由浅入深再到实战,完成多应用的单点登录功能。 本课程内容如下: 1、 什么是SSO和CAS 2、 CAS Server服务端和客户端的搭建和配置 3、 单点登录和单...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
.net单点登录(SSO)
01-25
简单的单点登录的demo 可完成多套管理系统共用统一的用户验证系统。
单点登录sso-shiro-cas-maven
10-19
spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas: 单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的...
golang实现单点登录系统(go-sso
01-19
这是一个基于Go语言开发单点登录系统,实现机号注册、机号+验证登录机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口做...
教你用代码实现SSO单点登录
HollisChuang's Blog
07-14 412
1. 概述1.1. 什么是SSO?Hollis的新书限时折扣中,一本深入讲解Java基础的干货笔记!单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。1.2. 什么是CAS?随着SSO技术的流行,相关产品也比较多,其中CAS...
撕一套sso(单点登录)系统之原理篇1
qq_41544289的博客
02-22 5593
撕之前,你首先要了解一些原理,我写的案例成品可以访问zauth
深度剖析单点登录流程原理,从0带你写一个SSO
qq_46248151的博客
12-24 1072
1.登录之后携带令牌,标明自己是否登录2.未登录则需要进行登录认证,中央认证服务发放token3.通过cookie的方式存入token,实现跨系统、跨域名的存储token(这一步存在一些安全隐患等等,如cookie窃取、篡改等,自己在做更加完备的单点登录时可以考虑其他方案)
单点登录SSO)实现详解!!!
最新发布
abc8002117034的博客
03-28 1388
1、一个系统登录流程:用户进入系统——未登录——跳转登录界面——用户名和密码发送——服务器端验证后,设置一个cookie发送到浏览器,设置一个session存放在服务器——用户再次请求(带上cookie)——服务器验证cookie和session匹配后,就可以进行业务了。2、多个系统登录:如果一个大公司有很多系统,a.seafile.com, b.seafile.com,c.seafile.com。这些系统都需要登录,如果用户在不同系统间登录需要多次输入密码,用户体验很不好。
跨服务器登录验证(单点登录SSO)的过程和Java实现
糖糖糖糖糖先森
11-19 1607
如果我们的网站需要和另一个域名做统一认证,也就是在我们网站登录,但真正的功能却在另一个网站来提供。许多都以 passport 的方式。   整个认证可以分三步完成   第一步:本地验证 这个很简单,输入本地的用户名和密码,然后服务器认证通过,并返回正确的Cookie;   第二步:做远程认证,并返回远程连接 通过本地Cookie,确认用户合法性,然后
Springboot 以输出流形式 在线预览PDF 文件分存储 (本地/远程)
kiduo08的专栏
06-28 3320
原因:本来是前端直接用url 显示pdf、但是url 容易暴露。 后来使用后台返回文件流的形式输出、前端显示、不多说直接上代码 1、文件存在服务器本地 @RequestMapping(value = "/preview", method = RequestMethod.GET) public void pdfStreamHandler(HttpServletRequest request, HttpServletResponse response) { //PDF文件地址 File file =
SSO单点登录实战:Spring-Security集成CAS详解
SSO单点登录是现代企业级应用中常见的一种身份验证机制,它允许用户在一个系统中登录后,无需在其他关联的系统中重复登录,从而提高了用户体验。Spring-Security与CAS结合,可以构建出强大且安全的SSO解决方案。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值