单点登录实现:一次登录,到处运行

已于 2024-04-16 22:30:52 修改
阅读量810 收藏 9
点赞数 25
文章标签: java spring boot 分布式
于 2024-04-16 22:14:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42315641/article/details/137842536
版权

单点登录:一次登录,到处运行
举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。
单点登录——就是为了解决这个问题而生!
简而言之,单点登录可以做到: 在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。
比如说校园论坛项目,原始模块可能有学习模块,娱乐模块,但是又有需求需要添加一个考研保研模块,这个时候怎么办呢?
在这里插入图片描述

单点登录就出来了,只需要在门户网站登录后,即可访问系统各个模块。

一、技术调研

实现单点登录可以有很多种方案,常见的有以下几种:

1,cookie+session

什么是cookie

  • HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。
  • cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
  • cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
    也就是说,在登录成功后,可以给用户颁发一个cookie,每次请求都带着一个cookie。只要携带着cookie就代表着用户已经登录过了。
    什么是session:
    session 由服务端创建,当一个请求发送到服务端时,服务器会检索该请求里面有没有包含 sessionId 标识,如果包含了 sessionId,则代表服务端已经和客户端创建过 session,然后就通过这个 sessionId 去查找真正的 session,如果没找到,则为客户端创建一个新的 session,并生成一个新的 sessionId 与 session 对应,然后在响应的时候将 sessionId 给客户端,通常是存储在 cookie 中。如果在请求中找到了真正的 session,验证通过,正常处理该请求。
    每一个客户端与服务端连接,服务端都会为该客户端创建一个 session,并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端,客户端将 sessionId 存到 cookie 中。

2,token+session

token和cookie的区别是:cookie属于前后端共享的,也就是说不需要前端显示的传递,服务端即可拿到cookie。
而token是用户登录成功以后,服务端返回一个token,每次请求用户都必须显式的传递这个token。客户端将这个token存储起来,然后每次客户端请求都需要开发者手动将token放在header中带过去,服务端每次只需要对这个token进行验证就能使用token中的信息来进行下一步操作了。

token比cookie更安全
需要了解一下一些常见的攻击:

  • xss 是什么:用户通过各种方式将恶意代码注入到其他用户的页面中,就可以通过脚本获取用户信息,发送请求等。
  • csrf 是什么:跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。
    这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。csrf并不能够拿到用户的任何信息,它只是欺骗用户浏览器,让其以用户的名义进行操作。
  • csrf例子:假如一家银行用以运行转账操作的URL地址如下: http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName,
    那么,一个恶意攻击者可以在另一个网站上放置了一串恶意代码,该代码会自动调用转账接口。
    如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。
  • 对于xss攻击来说,cookie和token没有什么区别。但是对于csrf来说就有区别
    如果被xss攻击了,不管是token还是cookie,都能被拿到,所以对于xss攻击来说,cookie和token没有什么区别。
    但是对于csrf来说就有区别,以上面的csrf攻击为例:
  • cookie:用户点击了链接,cookie未失效,导致发起请求后,浏览器自动携带cookie,后端以为是用户正常操作,于是进行扣款操作。
  • token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作。

二,token生成方案:

1,JWT

它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
组成:
JWT包含三个部分:Header头部,Payload负载和Signature签名。由三部分生成token,三部分之间用“.”号做分割。列如 :eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  1. Header 在Header中通常包含了两部分:type:代表token的类型,这里使用的是JWT类型。alg:使用的Hash算法,例如HMAC SHA256或RSA.
    { “alg”: “HS256”, “typ”: “JWT” } 这会被经过base64Url编码形成第一部分

  2. Payload token的第二个部分是荷载信息,它包含一些声明Claim(实体的描述,通常是一个User信息,还包括一些其他的元数据) 声明分三类: 1)Reserved Claims,这是一套预定义的声明,并不是必须的,这是一套易于使用、操作性强的声明。包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等 2)Plubic Claims, 3)Private Claims,交换信息的双方自定义的声明 { “sub”: “1234567890”, “name”: “John Doe”, “admin”: true } 同样经过Base64Url编码后形成第二部分

  3. signature 使用header中指定的算法将编码后的header、编码后的payload、一个secret进行加密。例如使用的是HMAC SHA256算法,大致流程类似于: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret) 这个signature字段被用来确认JWT信息的发送者是谁,并保证信息没有被修改 。
    也就是说通过使用JWT我们可以不用将用户信息和过期时间,存储到服务端,因为JWT本身就存储了用户信息。但是这也是JWT的一个很致命的问题,因为JWT一旦颁发,就无法做到失效。还有就是如何做到JWT的续签问题?

2,UUID+redis

就是用户登录成功以后,生成一个uuid当作token,然后将用户信息存储到redis中。通过这种方式实现的登录模型,我们可以做到对每个token的单独管控,包括注销,续签,踢人下线等功能,但是如果用户比较多,需要在内存型数据库中维护海量的用户数据。还有就是每次获取用户信息时,需要读取一次redis,相比于JWT这种CPU解密级别,读取redis稍微慢一些。

三、鉴权框架:

Shiro、SpringSecurity、Sa-Token都属于Java的权限框架。

  • Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但应对中小型项目完全足够。
  • Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI和AOP功能,为应用系统提供声明式的安全访问控制功能,但是Spring Security 相较于 Apache Shiro 更复杂,学习成本高,仅限于Spring框架中使用,相较于Apache Shiro在权限控制方面更灵活。
  • Sa-Token和Shrio一样也是一个轻量级的java安全框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题,相较于shiro,Sa-Token更适合于前后台分离架构,功能强大, 上手简单。缺点:没有Shiro知名度高,出现较晚。

四、 技术选型:

针对上面提到的优缺点,做出了如下的技术选型:
token+jwt+redis+sa-token:

  1. 摒弃cookie,拥抱token.
  2. 不再单纯的使用JWT,也不单纯的使用uuid+token,而是让两者结合,一些固定不变的信息,比如说用户基础信息,权限信息使用JWT存储,redis用来当作一个黑名单的功能.
  3. 权限框架使用轻量级的Sa-Token,上手简单,并且内部功能支持比较多。
@甄先生
关注
springboot整合jwt实现单点登录
qq_35872777的博客
07-06 7929
jwt的结构:
第十五章 单点登录——《跟我学Shiro
每天积累一点,一年后你会发现,自己变化很大
12-26 1381
Shiro 1.2开始提供了Jasig CAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统,用户只需要到一个央服务器登录一次即可访问这些系统的任何一个,无须多次登录。此处我们使用Jasig CAS v4.0.0-RC3版本: https://github.com/Jasig/cas/tree/v4.0.0-RC3   Jasig CAS单点登录系统分为服务器端和客户端,服务
Java实现单点登录
weixin_44823875的博客
02-18 2364
(1)什么是TokenToken,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。比如如下形式:39faf62271944fe48c4f1d69be71bc9a(2)为什么使用Token
Cookie、Session、Token 、JWT、单点登录 详解
最新发布
weixin_68074170的博客
07-23 969
狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 session 和 token 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。
单点登录Java代码
weixin_35756892的博客
01-05 26
下面是一个简单的单点登录Java 代码示例。 import java.util.HashMap; import java.util.Map; public class SingleSignOnRegistry { private static final Map<String, String> USERS_BY_TOKEN = new HashMap<>();...
shiro实现单点登录
10-15
spring整合shirospring-data-redis和spring-session-data-redis通过shiro实现单点登录
一次登录,资源尽享(Single Sign-On)
09-26 1万+
Single Sing-On简介 微软已经推出了Office System,其的SharePoint Portal Server 2003(以下简称SPS2003)可以用来快速地建立起一个门户网站,可以使企业内用户轻易地找到所需要的信息,协同工作,同时,也可以向Internet上的用户提供一个信息查询的门户网站。 如果用户的客户端和SPS2003服务器以及其他一些服务器(例如
cookie实现单点登录
。。
02-01 1735
网上搜单点登录只考虑同域,不跨域如a.my.com、b.my.com等,都在*.my.com主域内,因此使用cookie比较方便前后端分离目前大多前端项目都基于react、vue,因此必须要考虑。
实现单点登录的几种方式及原理
Isonion的博客
08-31 3900
单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。为什么需要做单点登录系统呢?在一些互联网公司,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统。
CAS方式实现单点登录
热门推荐
monologuezjp的博客
11-01 1万+
单点登录,英文是 Single Sign On,缩写为 SSO。 多个站点(192.168.1.20X)共用一台认证授权服务器(192.168.1.110,用户数据库和认证授权模块共用)。用户经由其任何一个站点(比如 192.168.1.201)登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。 CAS Server 为需要独立部署的 Web 应用。CAS Client 支持非常多的客户端(这里指单点登录系统的各个 Web 应用),包括 Jav...
简单轻松实现单点登录(sso)
jianai_2018的博客
09-04 2732
一、WEB程序的“会话机制” 简单回顾: 1.http协议是无状态的 是指协议对于交互性场景没有记忆能力,每次请求http都会当做一次新的请求。 2.让服务器有记忆能力之Cookie、Session WEB到底是如何采用Cookie+Session来进行“会话状态”维护的: 浏览器发起第一次请求,服务器(php)创建一个唯一sessionID 把sessionID设置到cookie 浏览器发送第二次、第N次请求都会携带cookie的sessionID...
单点登录sSO的实现原理与方案详解
uuqaz的博客
05-29 2243
目录 1.为什么需要单点登录 2.单点登录的来源 3.单点登录实现方式 为什么需要单点登录 单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统登录,也就是用户的一次登录能得到其他所有系统的信任。 单点登录在大型网站里使用得非常频繁,例如,阿里旗下有淘宝、天猫等网站,还有背后的成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授...
单点登录SSO:概述与示例
百宝门-SSO顾问
05-03 1万+
本系列将由浅入深的带大家深入最新的单点登录SSO方案选型与架构开发实战。附动图示例。 从业十多年,为政府、电信、跨国公司顾问和实施的单点登录解决方案无数,深谙其痛点与关键。大部分单点登录方案,从产品方案选型起就存在根本性问题,往往导致: 1. 受困于诸多被集成系统的改造。 2. 依赖特定终端,甚至特定浏览器。 3. 被“忽悠”:“只想剪个头发,结果买了美容保养年卡,而且头发还剪得不好”。 4. 一个月能实施完的折腾了三四个月。
单点登录(一)使用Cookie+File实现单点登录
chestnut
07-14 4114
本文使用Cookies+Filter实现www.taobao.tgb.com 和 www.tianmao.tgb.com的单点登录。 源码分享:链接: http://pan.baidu.com/s/1eQheDpS 密码: gn9d 一 实现原理: 使用用户名和密码登录taobao后,会将用户名存储在Session和Cookie各一份。当用户登录tianmao时,可直接从Cookie获取用户名和密码,不需要二次登陆。 二 知识点解析: 1.本例使用tomcat做服务器,绑定1个域名,且此域名对应2个不
JSON Web Token (JWT)笔记(token实现单点登录功能
qq_43813373的博客
04-05 3150
文章目录cookie(浏览器客户端)session(web服务端)单点登录三种方式 cookie(浏览器客户端) 百度百科-cookie(安全威胁) cookie是客户端技术,存储在本地浏览器,每次发送请求带着cookie值发送。 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一
单点登录 - cookie
秀才的专栏
03-06 407
单点登录:1、登录系统登录,设置cookie;2、非登录系统获取cookie信息;3、cookie不存在,重定向到登录系统进行第一步,然后再返回;通过浏览器可以查看cookie信息:Chrome浏览器如何查看 &amp; 编辑Cookie:https://jingyan.baidu.com/article/37bce2be5c93961002f3a2fd.htmlFireFox如何查看Cookie...
使用token单点登录 - 整合JWT工具
weixin_44610169的博客
10-27 2622
注册接口和登录差不多,我们同样写一个提交的注册信息vo,在实现类拿到vo提交上来的各注册信息,然后进行判断是否为空,验证码是否正确,手机号是否已经注册(baseMapper.selectCount)得到的数据>0则代表已经被注册,通过校验后提交信息到数据库就可以了
Tableau单点登录详解:原理与Java实现
总结来说,Tableau单点登录涉及Web服务器、Tableau Server和浏览器之间的协同工作,利用票证机制实现了用户一次登录即可访问多个Tableau资源。这个流程优化了用户体验,同时增强了系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值