以下是在 Go 语言中实现单点登录(Single Sign-On,SSO)的一种方法:
一、总体思路
- 设计一个认证服务器,负责用户的认证和颁发令牌(Token)。
- 各个应用系统在接收到用户请求时,验证令牌的有效性。如果令牌有效,则允许用户访问;如果令牌无效,则重定向用户到认证服务器进行登录。
二、具体实现步骤
-
认证服务器
- 用户认证:提供用户登录接口,接收用户名和密码。验证用户身份后,颁发令牌。
- 令牌生成和验证:可以使用 JWT(JSON Web Tokens)来生成和验证令牌。JWT 是一种开放标准,用于在各方之间安全地传输声明。
- 令牌存储:可以选择将令牌存储在内存中、数据库中或者使用缓存服务器(如 Redis)来提高性能。
以下是一个简单的认证服务器示例:
package main
import (
"fmt"
"log"
"net/http"
"time"
"github.com/dgrijalva/jwt-go"
)
var jwtKey = []byte("your_secret_key")
type Claims struct {
Username string `json:"username"`
jwt.StandardClaims
}
func generateToken(username string) (string, error) {
expirationTime := time.Now().Add(24 * time.Hour)
claims := &Claims{
Username: username,
StandardClaims: jwt.StandardClaims{
ExpiresAt: expirationTime.Unix(),
},
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
return token.SignedString(jwtKey)
}
func authenticate(w http.ResponseWriter, r *http.Request) {
username := r.FormValue("username")
password := r.FormValue("password")
// 这里可以进行实际的用户认证逻辑,比如查询数据库
if username == "user" && password == "password" {
token, err := generateToken(username)
if err!= nil {
w.WriteHeader(http.StatusInternalServerError)
return
}
w.Write([]byte(token))
} else {
w.WriteHeader(http.StatusUnauthorized)
}
}
func main() {
http.HandleFunc("/authenticate", authenticate)
log.Fatal(http.ListenAndServe(":8080", nil))
}
-
应用系统
- 令牌验证:当应用系统接收到用户请求时,从请求中获取令牌。然后,验证令牌的有效性。如果令牌有效,则允许用户访问;如果令牌无效,则重定向用户到认证服务器进行登录。
- 请求转发:如果令牌无效,应用系统可以将用户重定向到认证服务器的登录页面。在登录成功后,认证服务器会将用户重定向回应用系统,并携带有效的令牌。
以下是一个简单的应用系统示例:
package main
import (
"fmt"
"log"
"net/http"
"github.com/dgrijalva/jwt-go"
)
var jwtKey = []byte("your_secret_key")
type Claims struct {
Username string `json:"username"`
jwt.StandardClaims
}
func validateToken(tokenString string) (*Claims, error) {
claims := &Claims{}
token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
return jwtKey, nil
})
if err!= nil {
return nil, err
}
if!token.Valid {
return nil, fmt.Errorf("invalid token")
}
return claims, nil
}
func handler(w http.ResponseWriter, r *http.Request) {
tokenString := r.Header.Get("Authorization")
if tokenString == "" {
w.WriteHeader(http.StatusUnauthorized)
return
}
claims, err := validateToken(tokenString)
if err!= nil {
w.WriteHeader(http.StatusUnauthorized)
return
}
fmt.Fprintf(w, "Hello, %s!", claims.Username)
}
func main() {
http.HandleFunc("/", handler)
log.Fatal(http.ListenAndServe(":8081", nil))
}
三、注意事项
- 安全考虑:在实际应用中,需要注意令牌的安全性。例如,使用 HTTPS 协议来传输令牌,避免令牌被窃取。
- 令牌过期处理:需要考虑令牌的过期时间,并在令牌过期时提示用户重新登录。
- 扩展性:如果需要支持多个应用系统,可以考虑使用分布式的认证服务器,或者使用第三方的认证服务(如 OAuth2、OpenID Connect 等)。
以上只是一个简单的单点登录实现示例,实际应用中可能需要根据具体需求进行更多的优化和扩展。