单点登录原理、解决方案、基于satoken的实现

最新推荐文章于 2024-06-06 09:50:03 发布
最新推荐文章于 2024-06-06 09:50:03 发布
阅读量4k 收藏 16
点赞数 2
文章标签: 前端 java spring boot redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_eat_peach/article/details/131307064
版权

目录

设计思路

前端同域情况下:

搭建sso认证中心

引入依赖

开放处理认证的接口

配置信息

创建启动类

搭建业务系统

引入依赖

创建业务系统的controller

配置拦截器

配置信息

业务系统启动类

测试

前端不同域情况下:

设计思路

举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以访问其它所有系统。

我们需要搭建一个sso认证中心,就是不管那个系统需要登录认证都跳转到这个认证中心进行登录和认证。把SSO看作是一个单独的认证服务。不处理业务逻辑,只是做用户信息的管理以及授权给第三方应用。

单点登录的问题:

首先我们分析一下多个系统之间,为什么无法同步登录状态?实现单点登录就要解决这两个问题

  1. 前端的 Token 无法在多个系统下共享。
  2. 后端的 Session 无法在多个系统间共享。

前端同域情况下:

  1. 使用 共享Cookie 来解决 Token 共享问题。
  2. 使用 Redis 来解决 Session 共享问题。

所谓共享Cookie,就是主域名Cookie在二级域名下的共享,举个例子:写在父域名stp.com下的Cookie,在s1.stp.coms2.stp.com等子域名都是可以共享访问的。 所以后端在设置cookie的作用域的时候可以将其写入父级域名比如stp.com

我们在satoken框架配置文件中设置cookie的作用域为主域,同时后端服务器连接同一个redis

# 配置 Cookie 作用域 
sa-token.cookie.domain=stp.com

之后,比如在s1.stp.com 的子系统1登录之后返回一个在父域名stp.com下的Cookie 的token,在s2.stp.com 的子系统2去访问的时候带着这个token,就不需要再进行登录,从而实现了单点登录。

搭建sso认证中心

引入依赖

<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>


<!-- Sa-Token 插件:整合SSO -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-sso</artifactId>
    <version>1.34.0</version>
</dependency>
        
<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-dao-redis-jackson</artifactId>
    <version>1.34.0</version>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

开放处理认证的接口

新建 SsoServerController,所有对系统资源的请求都先到这里的接口进行处理:

/**
 * Sa-Token-SSO Server端 Controller 
 */
@RestController
public class SsoServerController {


    /*
     * SSO-Server端:处理所有SSO相关请求 (下面的章节我们会详细列出开放的接口) 
     */
    @RequestMapping("/sso/*")
    public Object ssoRequest() {
        return SaSsoProcessor.instance.serverDister();
    }
    
    /**
     * 配置SSO相关参数 
     */
    @Autowired
    private void configSso(SaSsoConfig sso) {
        // 配置:未登录时返回的去登录的界面 
        sso.setNotLoginView(() -> {
            String msg = "当前会话在SSO-Server端尚未登录,请先访问"
                    + "<a href='/sso/doLogin?name=sa&pwd=123456' target='_blank'> doLogin登录 </a>"
                    + "进行登录之后,刷新页面开始授权";
            return msg;
        });
        
        // 配置:登录处理函数 
        sso.setDoLoginHandle((name, pwd) -> {
            // 此处仅做模拟登录,真实环境应该查询数据进行登录 
            if("sa".equals(name) && "123456".equals(pwd)) {
                StpUtil.login(10001);
                return SaResult.ok("登录成功!").setData(StpUtil.getTokenValue());
            }
            return SaResult.error("登录失败!");
        });
    }
    
}

配置信息

# 端口
server.port=9000


################## Sa-Token 配置 ##################
# ------- SSO-模式一相关配置  (非模式一不需要配置) 
# 配置 Cookie 作用域为主域 
sa-token.cookie.domain=stp.com
    
################## Redis配置 (使用Redis来同步会话) ##################
# Redis数据库索引(默认为0)
spring.redis.database=1
# Redis服务器地址
spring.redis.host=127.0.0.1
# Redis服务器连接端口
spring.redis.port=6379
# Redis服务器连接密码(默认为空)
spring.redis.password=


# 关闭 forest 请求日志打印
forest.log-enabled: false

创建启动类

@SpringBootApplication
public class SaSsoServerApplication {
    public static void main(String[] args) {
        SpringApplication.run(SaSsoServerApplication.class, args);
        System.out.println("\n------ Sa-Token-SSO 认证中心启动成功");
    }
}

至此我们可以通过http://localhost:9000/sso/auth进行登录,但真实项目中我们是不会直接从浏览器访问 /sso/auth 授权地址的,我们需要在 Client 端点击登录按钮重定向而来。

搭建业务系统

引入依赖

<!-- Sa-Token 权限认证, 在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>
<!-- Sa-Token 插件:整合SSO -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-sso</artifactId>
    <version>1.34.0</version>
</dependency>


<!-- Sa-Token 整合redis (使用jackson序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-dao-redis-jackson</artifactId>
    <version>1.34.0</version>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>


<!-- Sa-Token插件:权限缓存与业务缓存分离 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-alone-redis</artifactId>
    <version>1.34.0</version>
</dependency>

创建业务系统的controller

依然是用StpUtil.isLogin()来判断是否登录

/**
 * Sa-Token-SSO Client端 Controller 
 * @author kong
 */
@RestController
public class SsoClientController {


    // SSO-Client端:首页 
    @RequestMapping("/")
    public String index() {
        String authUrl = SaSsoManager.getConfig().splicingAuthUrl();
        String solUrl = SaSsoManager.getConfig().splicingSloUrl();
        String str = "<h2>Sa-Token SSO-Client 应用端</h2>" + 
                    "<p>当前会话是否登录:" + StpUtil.isLogin() + "</p>" + 
                    "<p><a href=\"javascript:location.href='" + authUrl + "?mode=simple&redirect=' + encodeURIComponent(location.href);\">登录</a> " + 
                    "<a href=\"javascript:location.href='" + solUrl + "?back=' + encodeURIComponent(location.href);\">注销</a> </p>";
        return str;
    }
    
    // 全局异常拦截 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {
        e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
    
}

配置拦截器

我们还是用StpUtil.isLogin()或StpUtil.checkLogin()来拦截接口,若没有登录就会被拦截下来,跳转到sso认证中心进行登录,当在sso认证中心登录后StpUtil.isLogin()的结果就为true

// 登录校验 -- 用是否登录拦截所有路由,
// 在最下面的.excludePathPatterns中并排除登录等接口的拦截
SaRouter.match("/**", r -> StpUtil.checkLogin());

配置信息

# 端口
server.port=9001


######### Sa-Token 配置 #########


# SSO-Server端-单点登录授权地址 
sa-token.sso.auth-url=http://sso.stp.com:9000/sso/auth
# SSO-Server端-单点注销地址
sa-token.sso.slo-url=http://sso.stp.com:9000/sso/signout


# 配置 Sa-Token 单独使用的Redis连接 (此处需要和SSO-Server端连接同一个Redis)
# Redis数据库索引
sa-token.alone-redis.database=1
# Redis服务器地址
sa-token.alone-redis.host=127.0.0.1
# Redis服务器连接端口
sa-token.alone-redis.port=6379
# Redis服务器连接密码(默认为空)
sa-token.alone-redis.password=
# 连接超时时间
sa-token.alone-redis.timeout=10s

业务系统启动类

/**
 * SSO模式一,Client端 Demo 
 */
@SpringBootApplication
public class SaSso1ClientApplication {
    public static void main(String[] args) {
        SpringApplication.run(SaSso1ClientApplication.class, args);
        System.out.println("\nSa-Token SSO模式一 Client端启动成功");
    }
}

测试

 

启动项目,依次访问三个应用端:

  • http://s1.stp.com:9001/
  • http://s2.stp.com:9001/
  • http://s3.stp.com:9001/

返回的结果都是(此时业务系统的controller里的StpUtil.isLogin()结果是false)

 

当我们点击登录按钮,会根据配置文件里的url转到我们之前搭建好的sso认证中心

 

当我们在sso认证中心登录后框架会自动将信息同步到同一个redis里面,这时候刷新原来的下面三个网址,业务系统的controller里的StpUtil.isLogin()结果都是true

  • http://s1.stp.com:9001/
  • http://s2.stp.com:9001/
  • http://s3.stp.com:9001/

 

前端不同域情况下:

  1. 使用 url重定向传播 来解决 Token 共享问题。
  2. 使用 Redis 来解决 Session 共享问题。

  • 用户进入 A 系统,没有登录凭证(ticket),A 系统给他跳到 SSO
  • SSO 没登录过,也就没有 sso 系统下没有凭证(注意这个和前面 A ticket 是两回事),输入账号密码登录
  • SSO 账号密码验证成功,通过接口返回做两件事:一是种下 sso 系统下凭证(记录用户在 SSO 登录状态);二是下发一个 ticket
  • 客户端拿到 ticket,保存起来,带着请求系统 A 接口
  • 系统 A 校验 ticket,成功后正常处理业务请求
  • 此时用户第一次进入系统 B,没有登录凭证(ticket),B 系统给他跳到 SSO
  • SSO 登录过,系统下有凭证,不用再次登录,只需要下发 ticket
  • 客户端拿到 ticket,保存起来,带着请求系统 B 接口

对浏览器来说,SSO 域下返回的数据要怎么存,才能在访问 A 的时候带上?浏览器对跨域有严格限制,cookie、localStorage 等方式都是有域限制的。

  • 在 SSO 域下,SSO 不是通过接口把 ticket 直接返回,而是通过一个带 code 的 URL 重定向到系统 A 的接口上,这个接口通常在 A 向 SSO 注册时约定
  • 浏览器被重定向到 A 域下,带着 code 访问了 A 的 callback 接口,callback 接口通过 code 换取 ticket
  • 这个 code 不同于 ticket,code 是一次性的,暴露在 URL 中,只为了传一下换 ticket,换完就失效
  • callback 接口拿到 ticket 后,在自己的域下 set cookie 成功
  • 在后续请求中,只需要把 cookie 中的 ticket 解析出来,去 SSO 验证就好
  • 访问 B 系统也是一样

阿辉___
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sa-token深入
cxl0209的博客
03-13 1335
1.Sa-Token-SSO 单点登录模块 什么是单点登录?解决什么问题? 举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。 单点登录——就是为了解决这个问题而生! 简而言之,单点登录可以做到: 在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。 架构选型 Sa-Token-SSO 由简入难划分
sa-token及相关登陆认证信息学习(一)——单点登录
qq_40138278的博客
02-14 3503
一.什么是单点登陆 单点登陆就是用户在一个系统登陆后,在访问同一认证体系下的系统时,无需进行二次登陆。其目的时为了优化用户的体验。 简而言之,单点登录可以做到:在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。 二.单点登陆和Oauth2登陆认证的区别 关于二者的区别,本人觉得,单点登陆是为了让用户无感的在各个系统之间穿梭。是同一个系统,一般是自己公司内部产品使用。而Oauth2认证是为了统一全网的登陆认证模式,该模式的主要是为了不同的系统共享同一套账号,其在认证授权过程需要用户统一才可以。打个
Sa-Token整合OAuth2实现单点登录
weixin_47303191的博客
06-21 3340
今天春天太苦了!!先后经历了失恋,然后住院,春招也就找了半个月,幸亏秋招的时候有公司捞我了,不然今年要失业了!!! 话不多说,步入正题,单点登录这个问题我很久之前有研究过,但是使用SpringSecurity写的,只感觉很离谱,要的配置实在是太多了,这个月公司提前配置,要整这个东西,我用SpringSecurity这个Oauth2实现单点登录又做了一次,但这次死活不行,前后弄了一个多星期,真离谱!! 后来发现了Sa-token的这款工具,发现挺好用的,查了查,好像说比Shiro和SpringSecurity
2024年前端最全实战:单点登录的两种实现方式,附源码_前端单点登录,阿里前端p7面试
2401_84617533的博客
05-13 653
由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】java复制代码/*** title:跳转 ServiceB* * 1. 前端点击Jump链接触发此接口调用* 2. 此接口生成ticket并携带着请求 ServiceB* 2.1 ServiceB拿着ticket请求我方服务获取用户信息。
登录模式:单一服务器模式、单点登录token模式
最新发布
ly000666的博客
06-06 599
token又叫令牌,本质上就是一串无意义的字符串,一般放在请求头中,只要服务端能够从请求头中拿到token就能实现认证,但是用户信息是在服务器的每次请求都要用token去数据库中查询用户信息,数据库的压力太大了。如果token携带了用户信息,不就不需要每次请求都访问数据库查了嘛,从token中直接解析出用户信息以及用户登录状态进行校验,这就是后来的JWT。给浏览器返回的token是一串。...
Redis】基于Token单点登录
wmh的博客
01-18 1676
fill:#333;color:#333;color:#333;fill:none;合法不合法beginend提交手机号手机号合法校验保存到Redis发送验证码。
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
Sa-Token v1.23.0 这可能是史上功能最全的 Java 权限认证框架! 在线资料 Sa-Token 介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题 框架集成简单、开箱即用、API设计清爽,通过Sa-Token,你将以一种极其简单的方式实现系统的权限认证部分 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限认证 —— 权限认证、角色认证、会话二级认证 Session会话 —— 全端共享Session、单端独享Session、自定义Session 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数
使用Sa-token实现单点登录
zjq852533445的博客
01-17 7094
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题
单点登录token
qq_45398535的博客
05-12 1691
单点登录
使用token单点登录 - 整合JWT工具
weixin_44610169的博客
10-27 2535
注册接口和登录差不多,我们同样写一个提交的注册信息vo,在实现类拿到vo提交上来的各注册信息,然后进行判断是否为空,验证码是否正确,手机号是否已经注册(baseMapper.selectCount)得到的数据>0则代表已经被注册,通过校验后提交信息到数据库就可以了
vue+springboot前后端分离实现单点登录跨域问题解决方法
01-19
那就意味着做单点登录咯,至于不知道什么是单点登录的同学,建议去找一下万能的度娘。 刚接到这个需求的时候,老夫心里便不屑的认为:区区登录何足挂齿,但是,开发的过程狠狠的打了我一巴掌(火辣辣的一巴掌)。。...
单点登录与单点注销
02-05
单点登录(Single Sign On),简称为SSO。 该资源中包含的是两个Eclipse Project,导入到Eclipse/MyEclipse后,可能需要设置下JavaEE类库。SSOAuth为认证系统,SSODemo为应用系统,如果映射的域名和我设置的一样,不...
SaToken实现Restful风格
02-27
在IT行业中,RESTful风格的API设计已经成为...这种解决方案不仅保持了RESTful接口的简洁性,同时也确保了权限控制的精确性。通过这种方式,开发者可以充分利用SaToken的强大功能,同时享受到RESTful设计带来的好处。
SpringBoot框架集成token实现登录校验功能
08-25
SpringBoot框架集成token实现登录校验功能 SpringsBoot框架集成token实现登录校验功能是指在SpringBoot框架中使用token实现登录校验功能的方法,这种方法可以在移动端和服务器端之间实现安全的身份验证。下面将...
前后端如何实现登录token拦截校验详解
12-10
最近需要写一下前后端分离下的登录解决方案,目前大多数都采用请求头携带 Token 的形式 1、我是名小白web工作者,每天都为自己的将来担心不已。第一次记录日常开发中的过程,如有表达不当,还请一笑而过; 2、本...
Ruoyi-cloud集成Sa-Token SSO单点登录
weixin_43422012的博客
08-26 4874
若依ruoyi-cloud集成sa-token的sso单点登录
Sa-token SSO单点登录机制【源码】
m0_51433562的博客
11-06 6372
Sa-token SSO单点登录 源码阅读讲解
Sa-Token SSO 前后端分离 SpringBoot + Vue2
weixin_45850829的博客
07-01 4002
单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是比较流行的。单点登录——便是我们搭建统一认证中心的关键。
Sa-Token OAuth2 单点登陆实战(适用于spring boot + spring cloud)及常见问题解答
热门推荐
Treasure的博客
10-27 1万+
看本文前,请熟悉OAuth2的的基本概念及原理。本文主要讲解授权码模式的实战。同时请仔细阅读官方文档。OAuth2.0简述 - Sa-Token (dev33.cn)Sa-Token OAuth2 可以帮你把oauth2的事情都搞定,你只需要实现自己的用户认证(doLogin方法)即可!
springboot satoken集成 Authing 单点登录
05-27
Spring Boot 中集成 Authing 单点登录,可以使用 satoken 框架来实现satoken 是一个轻量级的 Java Web 权限认证框架,它可以方便地集成第三方认证解决方案,如 Authing 单点登录。以下是实现步骤: 1. 首先,需要在 Authing 控制台中创建一个应用程序,并获取到应用程序的 App ID 和 App Secret。 2. 在 Spring Boot 项目中添加 satoken 和 Authing 的依赖: ``` <dependency> <groupId>cn.dev33.satoken</groupId> <artifactId>sa-token-starter</artifactId> <version>1.22.2-RELEASE</version> </dependency> <dependency> <groupId>com.authing</groupId> <artifactId>authing-java-sdk</artifactId> <version>3.0.0</version> </dependency> ``` 3. 在 Spring Boot 的配置文件中添加 Authing 的配置: ``` sa.authing.app-id=your_app_id sa.authing.app-secret=your_app_secret sa.authing.redirect-uri=http://localhost:8080/callback sa.authing.scope=openid profile email phone address ``` 4. 在 Spring Boot 中编写回调接口,用于接收 Authing 返回的用户信息: ```java @RestController public class AuthingCallbackController { @Autowired private AuthService authService; @GetMapping("/callback") public String callback(@RequestParam("code") String code) { AuthingUser user = authService.getUserByCode(code); // TODO: 处理用户信息 return "success"; } } ``` 5. 在 AuthService 中编写获取用户信息的方法: ```java @Service public class AuthService { @Autowired private SaOAuth2Authenticator saOAuth2Authenticator; public AuthingUser getUserByCode(String code) { SaOAuth2User user = saOAuth2Authenticator.doAuth("authing", code); // TODO: 处理用户信息 return new AuthingUser(); } } ``` 以上就是在 Spring Boot 中集成 Authing 单点登录的步骤。需要注意的是,Authing 单点登录需要使用 HTTPS 协议进行访问,因此需要在应用程序中配置 SSL 证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值