谷粒商城高级篇-sso单点登录

最新推荐文章于 2024-01-08 10:20:39 发布
最新推荐文章于 2024-01-08 10:20:39 发布
阅读量1.4k 收藏 13
点赞数
分类专栏: 谷粒商城 spring cloud alibaba 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/menxinziwen/article/details/122394049
版权

单点登录

单点登录介绍

基于spring session 的方式只能解决session在同域或者是同服务的session共享问题。但是无法解决不同域名之前的共享问题,因此我们需要一台认证服务器。

sso思路

sso思路
记住一个核心思想:建议一个公共的登陆点server,他登录了代表这个集团的产品就登录过了

流程

有两个子系统app1、app2

在这里插入图片描述

登录app1

  1. 用户访问app1系统,app1系统是需要登录的,但用户现在没有登录。
  2. 跳转到CAS server,即SSO登录系统,以后图中的CAS Server我们统一叫做SSO系统。 SSO系统也没有登录,弹出用户登录页。
  3. 用户填写用户名、密码,SSO系统进行认证后,将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie。
  4. SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到app1系统,同时将ST作为参数传递给app1系统。
  5. app1系统拿到ST后,从后台向SSO发送请求,验证ST是否有效。
  6. 验证通过后,app系统将登录状态写入session并设置app域下的Cookie。

再去登录app2

  1. 用户访问app2系统,app2系统没有登录,跳转到SSO。
  2. 由于SSO已经登录了,不需要重新登录认证。
  3. SSO生成ST,浏览器跳转到app2系统,并将ST作为参数传递给app2。
  4. app2拿到ST,后台访问SSO,验证ST是否有效。
  5. 验证成功后,app2将登录状态写入session,并在app2域下写入Cookie。

开源框架xxl-sso

目前比较火的开源的单点登录框架参考,地址如下

gitee地址

实现原理

源码分析

客户端代码分析

登录客户端服务

  1. 首先通过过滤器拦截访问请求获取cookie中的sessionId字段获取到cookie中存的值,存在先去redis或者其他的一些中间存储的第三方获取到存储的登录用户对象

第一层核心代码部分

 @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
... 其他判断
        // 重点是这个
        //valid login user, cookie + redirect
        XxlSsoUser xxlUser = SsoWebLoginHelper.loginCheck(req, res);

 ... xxlUser 没有xxlUser重新登录 有就可以登录访问系统
 
    }

第二层

 public static XxlSsoUser loginCheck(HttpServletRequest request, HttpServletResponse response){

        String cookieSessionId = CookieUtil.getValue(request, Conf.SSO_SESSIONID);

        // cookie user
        XxlSsoUser xxlUser = SsoTokenLoginHelper.loginCheck(cookieSessionId);
        if (xxlUser != null) {
            return xxlUser;
        }

        // redirect user

        // remove old cookie
        SsoWebLoginHelper.removeSessionIdByCookie(request, response);

        // set new cookie
        String paramSessionId = request.getParameter(Conf.SSO_SESSIONID);
        xxlUser = SsoTokenLoginHelper.loginCheck(paramSessionId);
        if (xxlUser != null) {
            CookieUtil.set(response, Conf.SSO_SESSIONID, paramSessionId, false);    // expire when browser close (client cookie)
            return xxlUser;
        }

        return null;
    }
  1. 比较session key部分的version和取出的redis用户对象的version版本比较
  2. 如果有和上次的版本一致就刷新过期时间 直接到最上层返回用户对象

第三层 代码部分

 /**
     * login check
     *
     * @param sessionId
     * @return
     */
    public static XxlSsoUser loginCheck(String  sessionId){

        String storeKey = SsoSessionIdHelper.parseStoreKey(sessionId);
        if (storeKey == null) {
            return null;
        }

        XxlSsoUser xxlUser = SsoLoginStore.get(storeKey);
        if (xxlUser != null) {
            String version = SsoSessionIdHelper.parseVersion(sessionId);
            if (xxlUser.getVersion().equals(version)) {

                // After the expiration time has passed half, Auto refresh
                if ((System.currentTimeMillis() - xxlUser.getExpireFreshTime()) > xxlUser.getExpireMinute()/2) {
                    xxlUser.setExpireFreshTime(System.currentTimeMillis());
                    SsoLoginStore.put(storeKey, xxlUser);
                }

                return xxlUser;
            }
        }
        return null;
    }

4.直接登录当前系统,并保存用户信息

第一层代码

 @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
... 其他判断
        //valid login user, cookie + redirect
...

 ... xxlUser 没有xxlUser重新登录 有就可以登录访问系统
     // ser sso user
        request.setAttribute(Conf.SSO_USER, xxlUser);


        // already login, allow
        chain.doFilter(request, response);
        return;
 
    }
  1. 如果redis没有就返回最上层(第一层)让用户去登录

回到第二层代码

 public static XxlSsoUser loginCheck(HttpServletRequest request, HttpServletResponse response){

        String cookieSessionId = CookieUtil.getValue(request, Conf.SSO_SESSIONID);

        // cookie user
        XxlSsoUser xxlUser = SsoTokenLoginHelper.loginCheck(cookieSessionId);
        ...
        SsoWebLoginHelper.removeSessionIdByCookie(request, response);

        // set new cookie
        String paramSessionId = request.getParameter(Conf.SSO_SESSIONID);
        xxlUser = SsoTokenLoginHelper.loginCheck(paramSessionId);
      ...

        return null;
    }

 @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
... 其他判断
        //valid login user, cookie + redirect
...

 ... xxlUser 没有xxlUser重新登录 有就可以登录访问系统
    // valid login fail
        if (xxlUser == null) {

            String header = req.getHeader("content-type");
            boolean isJson=  header!=null && header.contains("json");
            if (isJson) {

                // json msg
                res.setContentType("application/json;charset=utf-8");
                res.getWriter().println("{\"code\":"+Conf.SSO_LOGIN_FAIL_RESULT.getCode()+", \"msg\":\""+ Conf.SSO_LOGIN_FAIL_RESULT.getMsg() +"\"}");
                return;
            } else {

                // total link
                String link = req.getRequestURL().toString();

                // redirect logout
                String loginPageUrl = ssoServer.concat(Conf.SSO_LOGIN)
                        + "?" + Conf.REDIRECT_URL + "=" + link;

                res.sendRedirect(loginPageUrl);
                return;
            }

        }
 
    }

服务端代码分析

这里我们排除用户名密码输入错误的情况
服务端就是登录保存cookie逻辑

  1. 首先进入登录页面输入用户名密码登录
  2. 设置正确的用户对象信息
  @RequestMapping("/doLogin")
    public String doLogin(HttpServletRequest request,
                        HttpServletResponse response,
                        RedirectAttributes redirectAttributes,
                        String username,
                        String password,
                        String ifRemember) {

        boolean ifRem = (ifRemember!=null&&"on".equals(ifRemember))?true:false;

        // valid login
        ReturnT<UserInfo> result = userService.findUser(username, password);
        if (result.getCode() != ReturnT.SUCCESS_CODE) {
            redirectAttributes.addAttribute("errorMsg", result.getMsg());

            redirectAttributes.addAttribute(Conf.REDIRECT_URL, request.getParameter(Conf.REDIRECT_URL));
            return "redirect:/login";
        }

        // 1、make xxl-sso user
        XxlSsoUser xxlUser = new XxlSsoUser();
        xxlUser.setUserid(String.valueOf(result.getData().getUserid()));
        xxlUser.setUsername(result.getData().getUsername());
        xxlUser.setVersion(UUID.randomUUID().toString().replaceAll("-", ""));
        xxlUser.setExpireMinute(SsoLoginStore.getRedisExpireMinute());
        xxlUser.setExpireFreshTime(System.currentTimeMillis());


        // 2、make session id
        String sessionId = SsoSessionIdHelper.makeSessionId(xxlUser);

		

        // 3、login, store storeKey + cookie sessionId
        SsoWebLoginHelper.login(response, sessionId, xxlUser, ifRem);

        // 4、return, redirect sessionId
        String redirectUrl = request.getParameter(Conf.REDIRECT_URL);
        if (redirectUrl!=null && redirectUrl.trim().length()>0) {
            String redirectUrlFinal = redirectUrl + "?" + Conf.SSO_SESSIONID + "=" + sessionId;
            return "redirect:" + redirectUrlFinal;
        } else {
            return "redirect:/";
        }

    }

3.对原来的sessionId处理由用户id和用户版本号构成


    /**
     * make client sessionId
     *
     * @param xxlSsoUser
     * @return
     */
    public static String makeSessionId(XxlSsoUser xxlSsoUser){
        String sessionId = xxlSsoUser.getUserid().concat("_").concat(xxlSsoUser.getVersion());
        return sessionId;
    }
  1. 保存到cookie和redis当中
public static void login(HttpServletResponse response,
                             String sessionId,
                             XxlSsoUser xxlUser,
                             boolean ifRemember) {

        String storeKey = SsoSessionIdHelper.parseStoreKey(sessionId);
        if (storeKey == null) {
            throw new RuntimeException("parseStoreKey Fail, sessionId:" + sessionId);
        }

        SsoLoginStore.put(storeKey, xxlUser);
        CookieUtil.set(response, Conf.SSO_SESSIONID, sessionId, ifRemember);
    }
  1. 其中redis的key是处理还原了取其中的用户id
  /**
     * parse storeKey from sessionId
     *
     * @param sessionId
     * @return
     */
    public static String parseStoreKey(String sessionId) {
        if (sessionId!=null && sessionId.indexOf("_")>-1) {
            String[] sessionIdArr = sessionId.split("_");
            if (sessionIdArr.length==2
                    && sessionIdArr[0]!=null
                    && sessionIdArr[0].trim().length()>0) {
                String userId = sessionIdArr[0].trim();
                return userId;
            }
        }
        return null;
    }

5.最后通过登录接口返回原先需要认证的系统(客户端),通过客户端的逻辑完成登录流程

其他客户端登录

其他客户端登录由于cookie和redis中已经有值了,直接通过过滤器登陆成功

合格的搬砖人
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷粒商城实战(017 业务-单点登录)
wang_book的博客
04-23 632
单点登录(Single Sign-On,SSO)是一种身份验证服务,允许用户使用一组凭据(例如用户名和密码)登录到多个相关但相互独立的软件系统中。在用户进行了一次登录认证后,他们就可以访问其他受信任的系统而无需重新进行身份验证。SSO 的实现通常包括以下组件:身份提供者(Identity Provider,IdP):负责认证用户并颁发令牌。用户只需要在身份提供者进行一次登录,然后可以通过令牌访问其他受信任的系统。
谷粒商城 高级 (十七) --------- 单点登录
在森林里麋了鹿
09-19 2337
单点登录流程
谷粒商城——单点登录流程
最新发布
weixin_43796410的博客
01-08 459
用户身份信息独立管理,更好的分布式管理;可以自己扩展安全策略;1、 多业务分布式数据独立管理,不适合统一维护一份session数据。3、 cookie中使用jsessionId 容易被篡改、盗取。2、 分布式按业务功能切分,用户、认证解耦出来单独统一管理。Single Sign On 一处登陆、处处可用。缺点:认证服务器访问压力较大。缺点:单点性能压力,无法扩展。4、 跨顶级域名无法访问。解决了单点性能瓶颈。
谷粒商城笔记+踩坑(17)——【认证模块】登录,用户名密码登录+微博社交登录+SpringSession+xxl-sso单点登录
vincewm的博客
03-31 2350
【认证模块】登录,用户名密码登录+微博社交登录+SpringSession+xxl-sso单点登录
2022谷粒商城学习笔记(二十)单点登录
09-08 409
【代码】2022谷粒商城学习笔记(二十)单点登录
谷粒商城—认证服务—单点登录(231~235)
张老师的博客
08-07 772
一.: 1): a: 三.单点登录: 1.单点登录 案例: 1):xxl-sso 2.单点登录 练习: 1): 3.Spring Session 原理: ...
web-sso单点登录源码
10-29
单点登录SSO)的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域;从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现...
golang实现单点登录系统(go-sso
01-19
这是一个基于Go语言开发的单点登录系统,实现手机号注册、手机号+验证码登录、手机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口做...
xxl-sso:分布式单点登录框架。(分布式单点登录框架XXL-SSO
02-03
XXL-单点登录 XXL-SSO,一种分布式单点登录框架。 介绍 XXL-SSO是一个分布式单点登录框架。 您只需登录一次即可访问所有受信任的应用程序系统。 它具有“轻量级,可伸缩,分布式,跨域,Web + APP支持访问”功能。 ...
sso单点登录ppt.ppt
10-30
sso单点登录ppt.ppt
谷粒-单点登录
qq_42208662的博客
08-18 202
谷粒 JWT登录
谷粒商城-认证服务-SSO单点登录流程
hongshanguo的专栏
02-27 577
尚硅谷2020微服务分布式电商项目《谷粒商城》-单点登录(jwt)
a2522827931的博客
07-03 2687
欢迎访问加群:1107019965,学习更多的知识 1. 用户管理提供数据接口 1.1. 数据验证功能 根据接口文档知: 请求方式:GET 请求路径:check/{param}/{type} 请求参数:param,type 返回结果:true或false 1.1.2. UserController /** * 校验数据是否可用 * @param data * @param type * @return */ @GetMapping("check/{dat
SSO单点登录--结合谷粒商城
doubleStrong
08-02 834
单点登录流程 1. 客户端访问受保护的资源的时候 1.1 判断session中是否有LoginUser 1.2 判断请求路径中是否有访问令牌token 1.3 如果上述都没有的情况,跳转到登录服务器SSOServer+redirectUrl地址(带上当前网址,为了后面登录后跳转) return "redirect:"+ssoServer+"?redirect_url=http://client2.com:8082/employees"; 2. SsoServer登录服务器 2.1 首先判断..
谷粒商城关键技术总结-复习必备
qq_42762496的博客
05-20 3294
配置、注册中心nacos 网关 抽取各服务的鉴权、限流】日志输出 跨域 跨域 指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域; 跨域流程 非简单请求(PUT,DELETE)等,需要先发送预检请求 预检请求,OPTIONS 响应允许跨域 发送真实请求 响应数据 解决跨域 使用nginx部署为同一域 配置当次请求允许跨域 在网关服务的配置类添加跨域配置 添加响应头
JSON Web Token(JWT)原理和用法介绍
weixin_33913332的博客
12-26 1525
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍一下JWT的原理和用法。 官网地址:https://jwt.io/ 一、跨域身份验证 Internet服务无法与用户身份验证分开。一般过程如下。 1. 用户向服务器发送用户名和密码。 2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3. 服务器向用户返回session_id,sess...
谷粒商城单点登录
亚索@哈塞给
05-05 238
理解什么是单点登录 下载项目 码云搜索徐雪里的单点登录项目https://gitee.com/xuxueli0323/xxl-sso?_from=gitee_search 该项目目录结构 配置本地域名 打包运行 访问服务端 回车后的页面 重新打包 运行错误重新整体打包 因为存在一些父依赖 启动客户端。两个客户端一个8081,一个8082 访问客户端: 自己构造单点登录 执行流程 ...
谷粒商城》开发记录 10:注册和登录
拉里小猪的博客
05-30 774
211~235,验证码、MD5、session、单点登录等。
淘淘商城第96讲——单点登录之用户登录
热门推荐
李阿昀的博客
06-14 1万+
用户登录流程分析我们先来看下用户登录流程图,如下图所示。用户登录涉及到三个部分,第一部分是淘淘商城前台工程,第二部分是单点登录服务,第三部分是Redis服务。具体流程下图已经说的很明白了,我就不再啰嗦一遍了,相比于传统的登录,我们没有把用户登录信息存在session当中,而是存放到了Redis数据库当中。 对于上面的用户登录流程图,我仍粗略作一下解释,用户登录的处理流程大致可分为以下几个步骤:
django-simple-sso实现单点登录
05-12
Django-simple-sso是一个用于Django应用程序的单点登录SSO)解决方案。它允许用户通过一个统一的登录页面,使用一个凭证登录多个Django应用程序,从而实现单点登录。 下面是使用django-simple-sso实现单点登录的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值