OAuth2.0 SSO单点登录

已于 2023-11-03 10:36:44 修改
阅读量235 收藏 1
点赞数
分类专栏: 若依开放文档学习 文章标签: 数据库 oracle
于 2023-11-02 09:53:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53639759/article/details/134175618
版权

一、什么是单点登录

单点登录,英文是 Single Sign On,缩写为 SSO。多个站点(192.168.1.20X)共用一台认证授权服务器(192.168.1.110,用户数据库和认证授权模块共用)。

image.png

OAuth 2.0 授权模式的选择image.png

基于授权码模式,实现 SSO 单点登录

image.png

1.初始化

包结构:

image.png

1.1 application.ymal内容

比较简单设置个端口号就行

server:
  port: 18080

1.2 spring security相关配置

1.2.1 新建ServletUtis:

主要作用的方法是 writeJSON ,该放在主要用handle下类中

image.png

1.2.2 新建AuthenticationEntryPointImpl类:

访问URL时未登录,返回错误提示:401 + 账号未登录

image.png

1.2.3 新建AccessDeniedHandlerImpl类:

已登录,但是没有权限,返回错误提示:403 + 没有该操作权限

image.png

1.2.4 新建统一响应类 CommonResult :

image.png

1.2.5 新建SecurityConfiguration类:

image.png

异常处理,分别是没有登录和没有权限,这里我们调用了自己的handler

image.png

2.跳转 SSO 登录

新建index.html

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>首页</title>
	<!-- jQuery:操作 dom、发起请求等 -->
	<script src="https://lf9-cdn-tos.bytecdntp.com/cdn/expire-1-M/jquery/2.1.2/jquery.min.js" type="application/javascript"></script>

	<script type="application/javascript">

    /**
     * 跳转单点登录
     */
    function ssoLogin() {
      const clientId = 'yudao-sso-demo-by-code'; // 可以改写成,你的 clientId
      const redirectUri = encodeURIComponent('http://127.0.0.1:18080/callback.html'); // 注意,需要使用 encodeURIComponent 编码地址
      const responseType = 'code'; // 1)授权码模式,对应 code;2)简化模式,对应 token
      window.location.href = 'http://127.0.0.1:1024/sso?client_id=' + clientId
        + '&redirect_uri=' + redirectUri
        + '&response_type=' + responseType;
    }

    /**
     * 修改昵称
     */
    function updateNickname() {
      const nickname = prompt("请输入新的昵称", "");
      if (!nickname) {
        return;
      }
      // 更新用户的昵称
      const accessToken = localStorage.getItem('ACCESS-TOKEN');
      $.ajax({
        url: "http://127.0.0.1:18080/user/update?nickname=" + nickname,
        method: 'PUT',
        headers: {
          'Authorization': 'Bearer ' + accessToken
        },
        success: function (result) {
          if (result.code !== 0) {
            alert('更新昵称失败,原因:' + result.msg)
            return;
          }
          alert('更新昵称成功!');
          $('#nicknameSpan').html(nickname);
        }
      });
    }

    /**
     * 刷新令牌
     */
    function refreshToken() {
      const refreshToken = localStorage.getItem('REFRESH-TOKEN');
      if (!refreshToken) {
        alert("获取不到刷新令牌");
        return;
      }
      $.ajax({
        url: "http://127.0.0.1:18080/auth/refresh-token?refreshToken=" + refreshToken,
        method: 'POST',
        success: function (result) {
          if (result.code !== 0) {
            alert('刷新访问令牌失败,原因:' + result.msg)
            return;
          }
          alert('更新访问令牌成功!');
          $('#accessTokenSpan').html(result.data.access_token);

          // 设置到 localStorage 中
          localStorage.setItem('ACCESS-TOKEN', result.data.access_token);
          localStorage.setItem('REFRESH-TOKEN', result.data.refresh_token);
        }
      });
    }

    /**
     * 登出,删除访问令牌
     */
    function logout() {
      const accessToken = localStorage.getItem('ACCESS-TOKEN');
      if (!accessToken) {
        location.reload();
        return;
      }
      $.ajax({
        url: "http://127.0.0.1:18080/auth/logout",
        method: 'POST',
        headers: {
          'Authorization': 'Bearer ' + accessToken
        },
        success: function (result) {
          if (result.code !== 0) {
            alert('退出登录失败,原因:' + result.msg)
            return;
          }
          alert('退出登录成功!');
          // 删除 localStorage 中
          localStorage.removeItem('ACCESS-TOKEN');
          localStorage.removeItem('REFRESH-TOKEN');

          location.reload();
        }
      });
    }

    $(function () {
      const accessToken = localStorage.getItem('ACCESS-TOKEN');
      // 情况一:未登录
      if (!accessToken) {
        $('#noLoginDiv').css("display", "block");
        return;
      }

      // 情况二:已登录
      $('#yesLoginDiv').css("display", "block");
      $('#accessTokenSpan').html(accessToken);
      // 获得登录用户的信息
      $.ajax({
        url: "http://127.0.0.1:18080/user/get",
        method: 'GET',
        headers: {
          'Authorization': 'Bearer ' + accessToken
        },
        success: function (result) {
          if (result.code !== 0) {
            alert('获得个人信息失败,原因:' + result.msg)
            return;
          }
          $('#nicknameSpan').html(result.data.nickname);
        }
      });
    })
	</script>
</head>
<body>
<!-- 情况一:未登录:1)跳转 ruoyi-vue-pro 的 SSO 登录页 -->
<div id="noLoginDiv" style="display: none">
	您未登录,点击 <a href="#" onclick="ssoLogin()">跳转 </a> SSO 单点登录
</div>

<!-- 情况二:已登录:1)展示用户信息;2)刷新访问令牌;3)退出登录 -->
<div id="yesLoginDiv" style="display: none">
	您已登录!<button onclick="logout()">退出登录</button> <br />
	昵称:<span id="nicknameSpan"> 加载中... </span> <button onclick="updateNickname()">修改昵称</button> <br />
	访问令牌:<span id="accessTokenSpan"> 加载中... </span> <button onclick="refreshToken()">刷新令牌</button> <br />
</div>
</body>
<style>
    body { /** 页面居中 */
        border-radius: 20px;
        height: 350px;
        position: absolute;
        left: 50%;
        top: 50%;
        transform: translate(-50%,-50%);
    }
</style>
</html>

3.跳转回来附带 code 码

新建 callback.html

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>SSO 授权后的回调页</title>
	<!-- jQuery:操作 dom、发起请求等 -->
	<script src="https://lf9-cdn-tos.bytecdntp.com/cdn/expire-1-M/jquery/2.1.2/jquery.min.js" type="application/javascript"></script>
	<!-- 工具类 -->
	<script type="application/javascript">
    (function ($) {
      /**
       * 获得 URL 的指定参数的值
       *
       * @param name 参数名
       * @returns 参数值
       */
      $.getUrlParam = function (name) {
        const reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
        const r = window.location.search.substr(1).match(reg);
        if (r != null) return unescape(r[2]); return null;
      }
    })(jQuery);
	</script>

	<script type="application/javascript">
    $(function () {
      // 获得 code 授权码
      const code = $.getUrlParam('code');
      if (!code) {
        alert('获取不到 code 参数,请排查!')
        return;
      }

      // 提交
      const redirectUri = 'http://127.0.0.1:18080/callback.html'; // 需要修改成,你回调的地址,就是在 index.html 拼接的 redirectUri
      $.ajax({
        url:  "http://127.0.0.1:18080/auth/login-by-code?code=" + code
          + '&redirectUri=' + redirectUri,
        method: 'POST',
        success: function( result ) {
          if (result.code !== 0) {
            alert('获得访问令牌失败,原因:' + result.msg)
            return;
          }
          alert('获得访问令牌成功!点击确认,跳转回首页')

          // 设置到 localStorage 中
          localStorage.setItem('ACCESS-TOKEN', result.data.access_token);
          localStorage.setItem('REFRESH-TOKEN', result.data.refresh_token);

          // 跳转回首页
          window.location.href = '/index.html';
        }
      })
    })
	</script>
</head>
<body>
正在使用 code 授权码,进行 accessToken 访问令牌的获取
</body>
</html>

4.获得访问令牌

4.1 新建AuthController的 loginByCode接口:

image.png

4.2 新建 OAuth2Client 的 postAccessToken 方法:

image.png

image.png

BASE_URL对于接口在 cn.iocoder.yudao.module.system.controller.admin.oauth2 : OAuth2OpenControler ,该接口参数比较乱,关注授权码模式的参数就行

/**
     * 对应 Spring Security OAuth 的 TokenEndpoint 类的 postAccessToken 方法
     *
     * 授权码 authorization_code 模式时:code + redirectUri + state 参数
     * 密码 password 模式时:username + password + scope 参数
     * 刷新 refresh_token 模式时:refreshToken 参数
     * 客户端 client_credentials 模式:scope 参数
     * 简化 implicit 模式时:不支持
     *
     * 注意,默认需要传递 client_id + client_secret 参数
     */
    @PostMapping("/token")
    @PermitAll
    @Operation(summary = "获得访问令牌", description = "适合 code 授权码模式,或者 implicit 简化模式;在 sso.vue 单点登录界面被【获取】调用")
    @Parameters({
            @Parameter(name = "grant_type", required = true, description = "授权类型", example = "code"),
            @Parameter(name = "code", description = "授权范围", example = "userinfo.read"),
            @Parameter(name = "redirect_uri", description = "重定向 URI", example = "https://www.iocoder.cn"),
            @Parameter(name = "state", description = "状态", example = "1"),
            @Parameter(name = "username", example = "tudou"),
            @Parameter(name = "password", example = "cai"), // 多个使用空格分隔
            @Parameter(name = "scope", example = "user_info"),
            @Parameter(name = "refresh_token", example = "123424233"),
    })
    @OperateLog(enable = false) // 避免 Post 请求被记录操作日志
    public CommonResult<OAuth2OpenAccessTokenRespVO> postAccessToken(HttpServletRequest request,
                                                                     @RequestParam("grant_type") String grantType,
                                                                     @RequestParam(value = "code", required = false) String code, // 授权码模式
                                                                     @RequestParam(value = "redirect_uri", required = false) String redirectUri, // 授权码模式
                                                                     @RequestParam(value = "state", required = false) String state, // 授权码模式
                                                                     @RequestParam(value = "username", required = false) String username, // 密码模式
                                                                     @RequestParam(value = "password", required = false) String password, // 密码模式
                                                                     @RequestParam(value = "scope", required = false) String scope, // 密码模式
                                                                     @RequestParam(value = "refresh_token", required = false) String refreshToken) { // 刷新模式
        List<String> scopes = OAuth2Utils.buildScopes(scope);
        // 1.1 校验授权类型
        OAuth2GrantTypeEnum grantTypeEnum = OAuth2GrantTypeEnum.getByGranType(grantType);
        if (grantTypeEnum == null) {
            throw exception0(BAD_REQUEST.getCode(), StrUtil.format("未知授权类型({})", grantType));
        }
        if (grantTypeEnum == OAuth2GrantTypeEnum.IMPLICIT) {
            throw exception0(BAD_REQUEST.getCode(), "Token 接口不支持 implicit 授权模式");
        }

        // 1.2 校验客户端
        String[] clientIdAndSecret = obtainBasicAuthorization(request);
        OAuth2ClientDO client = oauth2ClientService.validOAuthClientFromCache(clientIdAndSecret[0], clientIdAndSecret[1],
                grantType, scopes, redirectUri);

        // 2. 根据授权模式,获取访问令牌
        OAuth2AccessTokenDO accessTokenDO;
        switch (grantTypeEnum) {
            case AUTHORIZATION_CODE:
                accessTokenDO = oauth2GrantService.grantAuthorizationCodeForAccessToken(client.getClientId(), code, redirectUri, state);
                break;
            case PASSWORD:
                accessTokenDO = oauth2GrantService.grantPassword(username, password, client.getClientId(), scopes);
                break;
            case CLIENT_CREDENTIALS:
                accessTokenDO = oauth2GrantService.grantClientCredentials(client.getClientId(), scopes);
                break;
            case REFRESH_TOKEN:
                accessTokenDO = oauth2GrantService.grantRefreshToken(refreshToken, client.getClientId());
                break;
            default:
                throw new IllegalArgumentException("未知授权类型:" + grantType);
        }
        Assert.notNull(accessTokenDO, "访问令牌不能为空"); // 防御性检查
        return success(OAuth2OpenConvert.INSTANCE.convert(accessTokenDO));
    }

基于密码模式实现SSO单点登录

image.png

qq_53639759
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java oauth2.0单点登录_基于spring-security-oauth2实现单点登录(持续更新)
weixin_39711721的博客
02-17 1318
基于spring-security-oauth2-实现单点登录文章代码地址:链接描述可以下载直接运行,基于springboot2.1.5,springcloud Greenwich版本实现。前面两篇写了认证oauth2通过内存还有jdbc实现认证中心。接下来我们采用oauth2实现管理系统的单点登录。说到这里,需要介绍几个注解:@EnableAuthorizationServer 该注解用来开启...
java oauth2.0单点登录_Oauth2.0 实现SSO单点登陆
weixin_35085438的博客
03-04 833
简介首先声明本文章是在不要乱摸基础上进行部分修改,思路和核心代码未做调整,写本片文章主要是为了加深自己的单点登陆的印象,巩固自己小小的知识面,所以将实现的过程记录下来。话不多说,一个字:干服务架构image.pngauthentication-center 授权服务oauth2-sso-client-member 用户管理服务oauth2-sso-client-order 订单服务数据库/*SET...
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
OAuth2.0 实现单点登录(四种授权方式)
最新发布
qq_52066082的博客
03-30 2230
OAuth2.0 实现单点登录(四种授权方式)
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
帝国cms oauth2.0 单点登录sso
04-28
【标题】:“帝国cms oauth2.0 单点登录sso” 在IT行业中,单点登录(Single Sign-On,简称SSO)是一种身份验证机制,它允许用户通过一次登录即可访问多个相互关联的应用系统,无需为每个系统分别进行认证。这里的...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
springboot+oauth2单点登录.rar
04-13
springboot2.0+oauth搭建的SSO单点登录的源码,仅仅实现登录功能,无需积分即可下载,如有问题请留言
OAuth 2 实现单点登录,通俗易懂!
程序员高级码农的博客
02-20 3684
与常规服务架构不同,在微服务架构中,Authorization Server/Resource Server 是作为微服务存在的,用户的登录可以通过API网关一次性完成,无需与无法跳转至内网的 Authorization Server 来完成。(6)张三再次来到“授权信开具处”,出示身份证明信和档案局A的标识,该处从私用数据库中查得,张三的官职是市长级别(角色),该官职具有档案局A的查询权限,就开具“允许张三查询档案局A”的授权信():以“档案局ID/密码”标识,是掌握档案资源的机构。
oauth2-实现单点登录(一)最简示例
g_soledad的博客
10-15 2884
参考教程:https://my.oschina.net/wotrd/blog/3056409 教程给出大致的实现途径,但还是遇到了一些坑,遂记录下。 本示例实现最简配置下的实现单点,排除其他干扰 一、认证服务端sso-server 创建springcloud项目 1.导入关键的依赖 <dependency> <groupId>org.springframework.cloud</groupId> <ar
单点登录和Auth2.0
weixin_63212264的博客
11-17 1612
单点登录英文全称Single Sign On,简称SSO。指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。OAuth 2.0 是一种用于授权的开放标准协议,允许用户通过第三方应用程序授权访问其在其他网站或应用程序上存储的受保护资源,而无需将其用户名和密码提供给第三方应用程序。
Springboot整合OAuth2实现SSO单点登录
青春不散场的专栏
09-06 479
【代码】Springboot整合OAuth2实现SSO单点登录
Spring Security系列(一)——登录认证基本配置
玖涯博客
11-28 1187
1. 开启Security @EnableWebSecurity @Configuration public class UserWebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Resource private PasswordEncoder passwordEncoder; @Resource private LoginAuthenticationSuccessHandler successH
SpringSecurity登录成功 访问别的接口说未登录问题解决
qq_44605317的博客
01-09 1778
SpringSecurity登录成功 访问别的接口说未登录问题解决
OAuth2.0SSO比较
liyanlei的专栏
02-07 1812
OAuth2.0SSO比较_咖啡男孩之SRE之路-CSDN博客_oauth2.0sso OAuth是Open Authority的缩写,是令牌代替用户密码访问应用的又一标准,前面一期介绍过SSO单点登录(SpringBoot模拟单点登录),也是令牌登陆的一种方式。 OAuth2.0最典型的授权码认证方式: 资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。 对于资源服务器来说,需要做的是 1 accessToken和cl
oauth2.0sso区别联系
ll_master的博客
03-04 897
sso登陆(是一种思想) 从SSO出发谈谈登录态保护 - 掘金 单点登录。即只需要登录一次,可以同步登陆状态到其他服务。 涉及:浏览器、登陆统一认证、统一认证员工信息、门户、vp 门户登陆地址-》门户前端判断是否登陆(token)-》跳转到统一认证登陆页-》登陆后(统一认证记录登陆信息)返回门户前端code-》门户后端根据code去统一认证拿token-》拿到token可以拿到员工信息-》返回给门户前端token存储到localStorage中下次调用给后端验证使用。 vp登陆地址-》vp前端判断
当我们使用postman来测试接口的时候,解决在idea中报未登录的提示
hzk1791318012的博客
12-11 1120
当我们使用postman来测试接口的时候,解决在idea中报未登录的提示的解决办法
基于Oauth2.0实现SSO单点认证
zh5220909的博客
12-24 2370
什么是单点? 借用百度百科的话: 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 单点登录图解: 什么是Oauth2.0? OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌token),用来代替密码,供第三方应用使用。 引用阮一峰老师的文章:OAuth 2.0 的四种方式 - 阮一
oauth2.0单点登录
08-18
OAuth 2.0 单点登录(Single Sign-On,简称 SSO)是一种身份验证和授权协议,允许用户使用一组凭据(如用户名和密码)登录到一个身份提供者,并且在成功登录后,可以在多个应用程序或服务中自动进行身份验证,而无需再次输入凭据。 在 OAuth 2.0 SSO 中,有三个主要的角色:身份提供者(Identity Provider,简称 IdP)、服务提供者(Service Provider,简称 SP)和用户。IdP 是负责验证用户身份并颁发访问令牌的实体,SP 是需要获取用户身份信息的应用程序或服务。 整个流程大致如下: 1. 用户访问 SP 应用程序,并选择使用 SSO 登录。 2. SP 应用程序将用户重定向到 IdP 的登录页面。 3. 用户在 IdP 的登录页面上输入凭据并进行身份验证。 4. IdP 验证成功后,生成一个授权码或访问令牌,并将其返回给 SP 应用程序。 5. SP 应用程序使用授权码或访问令牌与 IdP 进行交互,验证并获取用户的身份信息。 6. SP 应用程序使用获取到的身份信息完成用户的登录过程。 通过 OAuth 2.0 SSO,用户只需一次登录就可以访问多个应用程序或服务,提高了用户体验的便利性和安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值