SSO单点登录设计

已于 2023-08-30 18:34:02 修改
阅读量631 收藏 4
点赞数 1
分类专栏: sso单点登录 文章标签: java 服务器 前端
于 2022-12-10 14:19:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45800365/article/details/128264249
版权

文章目录

1. 无状态服务与有状态服务

无状态:每次请求毫无关联。
有状态:比如cookie、session,可作为类似http等无状态服务的传输介质。

2. 单点登录时序图

在这里插入图片描述
分三个部分:
用户、系统、认证中心。
以上时序图解释:

  1. 用户访问系统1,未登录,转发请求到认证中心验证;
  2. 认证中心验证该用户未登录,引导用户访问未登录页面;
  3. 用户输入账号密码,携带地址1地址参数发给认证中心;
  4. 认证中心验证通过后创建与用户的全局会话,并创建授权令牌发送给系统1;
  5. 系统1返回授权令牌给认证中心作二次验证;
  6. 认证中心验证通过,注册系统1,返回有效;
  7. 系统1创建与用户的局部会话;
  8. 用户访问系统2,未登录,转发请求到认证中心;
  9. 认证中心通过全局会话发现用户已登录,返回授权令牌给系统2;
  10. 系统2携带自己的地址参数并返回授权令牌;
  11. 认证中心校验授权令牌通过,注册系统2,返回有效;
  12. 系统2创建与用户的局部会话。

3. 单点注销

在这里插入图片描述

  1. 用户向系统1发起注销请求,系统1通过会话ID取出令牌,发给认证中心;
  2. 认证中心校验令牌通过,销毁与拥护的全局会话,并向使用该授权令牌注册的系统发送注销请求;
  3. 系统收到注销请求,销毁与用户的局部会话。
    会话间的区别
  4. 全局会话存在,局部会话不一定存在;
  5. 局部会话存在,全局会话一定存在;
  6. 局部不存在,全局会话不一定存在;
  7. 全局会话不存在,局部会话一定不存在。

4. 系统设计

系统1、系统2、认证中心。
系统:

  1. 拦截登录请求,重定向到认证中心验证;
  2. 创建与用户的局部会话。
    认证中心:
  3. 负责登录操作以及授权码的校验
  4. map存储系统地址,模仿系统的注册,方便统一发送注销请求;
  5. 创建与用户的全局会话;
  6. 统一注销。

核心请求拦截器的实现:

package com.example.sso.client.interceptor;

import com.example.sso.client.utils.CookieUtil;
import com.example.sso.client.utils.SSOClientHelper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
 * 创建拦截器-拦截需要安全访问的请求
 * 方法说明
 * 1.preHandle():前置处理回调方法,返回true继续执行,返回false中断流程,不会继续调用其它拦截器
 * 2.postHandle():后置处理回调方法,但在渲染视图之前
 * 3.afterCompletion():全部后置处理之后,整个请求处理完毕后回调。
 *
 * @author yhw
 */
@Slf4j
public class WebInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
        log.info("[ WebInterceptor ] >> preHandle  requestUrl:{} ", request.getRequestURI());
        //判断是否有局部会话
        HttpSession session = request.getSession();
        Object isLogin = session.getAttribute("isLogin");
        if (isLogin != null && (Boolean) isLogin) {
            log.debug("[ WebInterceptor ] >> 已登录,有局部会话 requestUrl:{}", request.getRequestURI());
            return true;
        }
        //获取令牌ssoToken
        String token = SSOClientHelper.getSsoToken(request);

        //无令牌
        if (StringUtils.isEmpty(token)) {
            //认证中心验证是否已经登录(是否存在全局会话)
            SSOClientHelper.checkLogin(request, response);
            return true;
        }

        //有令牌-则请求认证中心校验令牌是否有效
        Boolean checkToken = SSOClientHelper.checkToken(token, session.getId());

        //令牌无效
        if (!checkToken) {
            log.debug("[ WebInterceptor ] >> 令牌无效,将跳转认证中心进行认证 requestUrl:{}, token:{}", request.getRequestURI(), token);
            //认证中心验证是否已经登录(是否存在全局会话)
            SSOClientHelper.checkLogin(request, response);
            return true;
        }

        //token有效,创建局部会话设置登录状态,并放行
        session.setAttribute("isLogin", true);
        //设置session失效时间-单位秒
        session.setMaxInactiveInterval(1800);
        //设置本域cookie
        CookieUtil.setCookie(response, SSOClientHelper.SSOProperty.TOKEN_NAME, token, 1800);
        log.debug("[ WebInterceptor ] >> 令牌有效,创建局部会话成功 requestUrl:{}, token:{}", request.getRequestURI(), token);
        return true;
    }

}

校验令牌接口

 /**
     * 校验令牌是否合法
     *
     * @param ssoToken    令牌
     * @param loginOutUrl 退出登录访问地址
     * @param jsessionid
     * @return 令牌是否有效
     */
    @ResponseBody
    @RequestMapping("/checkToken")
    public String verify(String ssoToken, String loginOutUrl, String jsessionid) {
        // 判断token是否存在map容器中,如果存在则代表合法
        boolean isVerify = SSOConstantPool.TOKEN_POOL.contains(ssoToken);
        if (!isVerify) {
            log.info("[ SSO-令牌校验 ] checkToken 令牌已失效 ssoToken:{}", ssoToken);
            return "false";
        }

        //把客户端的登出地址记录起来,后面注销的时候需要根据使用(生产环境建议存库或者redis)
        List<ClientRegisterModel> clientInfoList =
                SSOConstantPool.CLIENT_REGISTER_POOL.computeIfAbsent(ssoToken, k -> new ArrayList<>());
        ClientRegisterModel vo = new ClientRegisterModel();
        vo.setLoginOutUrl(loginOutUrl);
        vo.setJsessionid(jsessionid);
        clientInfoList.add(vo);
        log.info("[ SSO-令牌校验 ] checkToken success ssoToken:{} , clientInfoList:{}", ssoToken, clientInfoList);
        return "true";
    }

5. 效果截图

单点登录
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
单点注销:
在这里插入图片描述

6.单点登录实现的三种方式

session广播(session复制)

适合在服务模块较少的情况。如果在服务过多的情况下,显得过于冗余。

cookie+redis实现

  1. 在项目任何一个模块进行登录,登录之后,把数据放到两个地方
    (1)redis:在key:生成随机唯一值(ip、用户id等),在value:存用户数据
    (2)cookie:把redis里面生成的key值放到cookie。

  2. 访问其他模块时,请求带着cookie进行发送
    各个模块从cookie中获取key,到redis中查找值,查到证明已登录

jwt验证机制(使用token实现)

在某个模块登录后,会把用户信息以某种加密形式放到字符串中,并返回。
(1)放到cookie中
(2)拼接到地址栏后面

 
每次发送请求都带上这个字符串,其他模块从这个字符串中提取到用户数据,注意不能存储敏感信息,比如用户密码。

超级无敌暴龙战士塔塔开
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ASP.NET MVC SSO单点登录设计与实现代码
10-20
本篇文章主要介绍了ASP.NET MVC SSO单点登录设计与实现,具有一定的参考价值,有兴趣的可以了解一下。
单点登录设计实现(一)
F.R
07-07 879
什么是单点登录? 先来看看最初的应用架构: 经典的单体架构,服务中包含了三个模块,部署在一个服务器中。用户与服务端建立会话的方式是利用cookeis和session(见第二章节cookies和session)。但是随着系统内的业务越来越多,单个服务器已经不能满足性能要求,并且业务之间的交互越来愈多,业务耦合性很高,维护起来很麻烦,于是就把按每个业务单独分开来,形成一个子系统,用户需要每个系统的业务,就去对应的子系统访问,如下图: 用户需要对应的业务需求就去对应的子系统请求。当然这里的系统只..
[Java 基于SSO实现单点登录]
汤圆的博客
06-14 2182
顺风顺水
Java单点登录SSO)实现指南:深度解析与全面实践
喔的嘛呀的博客
03-23 1277
单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整的Java代码实现。实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。
单点登录SSO)的设计与实现
BASK2311的博客
12-30 438
SSO英文全称Single Sign On,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。例如访问在网易账号中心()登录之后 访问以下站点都是登录状态网易直播v.163.com网易博客网易花田网易考拉网易Lofter。
JWT令牌介绍及单点登录SSO
酱酱的博客
06-14 651
简介 JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。 解决什么问题 当用户认证后获取到一个JWT令牌,而这个 JWT 令牌包含了用户基本信息,客户端只需要携带JWT访问资源服务器,资源服务器会通过事先约定好的算法进行解析出来,然后直接对 JWT 令牌校验,不需要每次远程请求认证服务器完成授权。 JWT的构成 JWT 有三部分构成:头部、有效载荷、签名 例如:aa
Java 单点登录
全村的希望的博客
06-21 2945
在认证中心中,需要实现用户的身份验证逻辑,并生成一个包含用户信息的令牌(Token)。在应用程序中,配置了安全过滤器,拦截需要身份验证的请求,并通过令牌验证用户的身份。请注意,这只是一个简化的示例,并没有涵盖所有的细节和完整的实现。实际的单点登录实现可能需要考虑更多的安全性和业务需求,例如令牌的过期时间、刷新令牌、单点注销等。Java单点登录(Single Sign-On,简称SSO)是一种身份认证机制,允许用户使用一组凭据(例如用户名和密码)登录一次,然后在多个应用程序中无需重新输入凭据即可访问。
UML设计系列(3):时序图
热门推荐
weigeshikebi的博客
10-05 1万+
动态的建模 在前面,初步了解了UML及其中之一:java之类图。 类图可以视为是一种静态的建模,时序图则是一种动态的建模。 一般根据时间的先后顺序,包括一组对象及它们之间的消息。比如一个很普通的用户登陆时序图 时序图 从上面的图可以看到,一个时序图包括涉及到的对象:用户,登陆系统,数据库,会员界面。 以及对应的消息:用户发起的登陆操作,系统发起的数据库查询及页面跳转等。 参加者对...
实战 | 单点登录系统原理与实现(全套流程图+源码)
qq_28940607的博客
11-06 1894
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别...
单点登录SSO:图示和讲解
weixin_41380972的博客
09-28 844
时序图绘出的所有服务端步骤,都在代码中逐一标注对应,跟踪调试代码就能两相对照,深入理解流程; 跨域Web SSO的核心在于写cookie、URL传参策略。其参与对象多、逻辑分支繁杂也难倒很多人。所见的其它教程图示往往对cookie和传参语焉不详,让人初看简单明了、细想很困惑。我做的时序图详细展现了这些关键细节。 话不多说,先上图吧。 一 示例运行效果动画 图一 百宝门跨域Web SSO方案演示 二 跨域Web SSO时序图 会比其它单点登录教程暴露更多比较重要的细节,没基础初看可能会晕。请先
交互图
尚锦 廊坊师范学院信息技术提高班 十二期
12-02 764
顺序图 含义: 对象之间的动态合作关系,强调对象发送消息的顺序,同时显示对象之间的交互。 基本元素: 角色:系统角色,可以是人或者其他系统,子系统。 对象:对象代表时序图中的对象在交互中所扮演的角色,位于时序图顶部和对象代表。 生命线:生命线代表时序图中的对象在一段时期内的存在。时序图中每个对象和底部中心都有一条垂直的虚线,这就是对象的生命线,对象间的消息存在于两条虚线间。 激活期:
07--单点登录系统(SSO)的设计与实现
XQ_898878888的博客
07-25 2376
背景
baigo SSO单点登录系统 v1.1.5
12-05
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇尚简单。 baigo SSO v1.1.5 ...
单点登录设计方案研究
10-24
此文档为本次公司开发一个简单单点登录系统时为其设计的开发文档
单点登录设计图,懒加载模式
05-07
设计可用于不清楚如何实现单点登录人员的设计参考。依据此设计,可以完成绝大多数的单点登录系统设计与实现。并能够很好地兼容不同系统之间的差异性。
baigo SSO单点登录系统 v1.1.6
12-05
baigo SSO 是一款基于 HTTP 协议的单点登录系统,baigo SSO 以简单为设计、开发的宗旨,安装部署简单、使用简单。baigo SSO 没有复杂的菜单,没有深奥的概念,没有晦涩难懂的名词,一切崇尚简单。 baigo SSO v1.1.6 ...
Day25-Java基础之常用类1
m0_46053885的博客
04-27 1101
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 472
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1066
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
单点登录SSO 需求说明
07-25
一、需求背景 随着企业内部系统的增多,用户需要频繁登录各个系统,造成了用户体验不佳和安全性隐患。为了提高用户体验和系统安全性,需要引入单点登录SSO)解决方案,实现用户一次登录即可访问多个系统。 二、需求概述 单点登录SSO)是一种身份验证和授权机制,允许用户使用一组凭据(例如用户名和密码)进行一次登录,然后在不同的应用程序和系统中无需重复登录即可访问资源。主要功能包括: 1. 用户认证:提供统一的身份认证机制,用户只需进行一次登录认证即可访问多个系统。 2. 会话管理:管理用户的登录会话状态,确保用户在一段时间内可以无需重新认证访问多个系统。 3. 用户授权:实现对用户的角色和权限进行统一管理和控制,确保用户在不同系统中的访问权限一致。 4. 单点注销:提供单点注销功能,用户退出一个系统后可以同时退出其他已登录的系统。 5. 安全性保护:采用安全的身份验证机制,如加密、令牌、证书等,保障用户身份和数据的安全性。 三、详细需求描述 1. 用户认证 1.1. 支持多种身份认证方式,如用户名密码、LDAP、OAuth等。 1.2. 支持多因素认证,如短信验证码、指纹识别、硬件令牌等。 1.3. 支持单点登录与外部身份提供商(IdP)集成,如ADFS、Okta、Ping Identity等。 1.4. 支持自定义认证流程,满足不同系统的特定需求。 2. 会话管理 2.1. 管理用户的登录会话状态,确保用户在一段时间内可以无需重新认证访问多个系统。 2.2. 实现会话过期和续签机制,保障会话的安全性和可用性。 2.3. 支持会话监控和管理,包括会话超时、并发登录限制等。 3. 用户授权 3.1. 统一管理和控制用户的角色和权限信息。 3.2. 支持基于角色和权限的访问控制,确保用户在不同系统中的访问权限一致。 3.3. 提供角色和权限的动态分配和调整机制,方便系统管理员进行管理。 4. 单点注销 4.1. 提供单点注销功能,用户退出一个系统后可以同时退出其他已登录的系统。 4.2. 确保注销操作的安全性,防止未经授权的用户访问已注销的系统。 5. 安全性保护 5.1. 采用安全的身份验证机制,如加密、令牌、证书等,保障用户身份和数据的安全性。 5.2. 对敏感信息进行加密传输,防止信息泄露。 5.3. 提供安全审计和日志记录功能,追踪用户的登录和操作行为。 四、技术实现方案 1. 选择适合的单点登录协议,如SAML、OAuth、OpenID Connect等。 2. 采用身份提供商(IdP)和服务提供商(SP)的架构,将认证和授权分离。 3. 使用安全框架和加密算法,确保用户凭证和数据的安全性。 4. 使用会话管理机制,如Cookie、Token、Session等,实现会话的跟踪和管理。 五、需求交付物 1. 需求说明书; 2. 系统设计文档; 3. 系统源代码; 4. 用户手册; 5. 系统部署说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超级无敌暴龙战士塔塔开

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值