单点登录方案分析学习

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量777 收藏 2
点赞数 1
文章标签: 单点登录 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snow0617/article/details/124123068
版权

单点登录方案分析学习

1.系统都在同一域名下的简单单点登录方案:

方案一 用父域cookie实现

cookie作用域由domainpath两个属性共同决定

  1. 我们将domain设为当前域的父域域名,即设为父域的cookie,父域cookie为子域所共享/子域会自动继承父域中的cookie。

  2. 然后只需要将sessionId(或者token)保存到父域中就可以了,这样所有的子域都能访问到这个cookie了

但要求各系统的域名都建立在共同的域名之下,如map.baidu和tieba.baidu。

2.不同域名下的单点登录方案:

方案一 认证中心

图示:

  • 用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数

  • sso认证中心发现用户未登录,将用户引导至登录页面

  • 用户输入用户名密码提交登录申请s

  • so认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌

  • sso认证中心带着令牌跳转会最初的请求地址(系统1)

  • 系统1拿到令牌,去sso认证中心校验令牌是否有效

  • sso认证中心校验令牌,返回有效,注册系统1

  • 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源

  • 用户访问系统2的受保护资源

  • 系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数

  • sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌

  • 系统2拿到令牌,去sso认证中心校验令牌是否有效

  • sso认证中心校验令牌,返回有效,注册系统2

  • 系统2使用该令牌创建与用户的局部会话,返回受保护资源用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话

  • 用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心

全局会话与局部会话有如下约束关系:

  • 局部会话存在,全局会话一定存在

  • 全局会话存在,局部会话不一定存在

  • 全局会话销毁,局部会话必须销毁

全局会话与局部会话的区别:

  • 全局会话是SSO统一认证中心的全局会话

  • 局部会话是子系统独有的会话,如果存在局部会话则可以直接访问受保护的资源无需请求认证中心做认证。

单点登录系统,存在全局会话和局部会话,全局会话由sso server维护,局部会话由具体的子系统维护。

用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心

sessionId:

  • sessionId用来追踪每个用户的会话,使用服务器生成的sessionId进行标识,用以区分用户。它存放在服务器的内存和客户机的cookie里。

  • sessionid 是一个会话的 key,浏览器第一次访问服务器会在服务器端生成一个 session,有一个 sessionID 和它对应,并返回给浏览器,这个 sessionID 会被保存在浏览器的会话 cookie 中。tomcat 生成的 sessionID 叫做 jsessionID。

  • sessionID 在访问 tomcat 服务器 HttpServletRequest 的 getSession(true) 的时候创建,tomcat 的 ManagerBase 类提供创建sessionID 的方法:随机数+时间+jvmid。Tomcat 的 StandardManager 类将 session 存储在内存中,也可以持久化到 file,数据库,memcache,redis等。

  • 客户端只保存 sessionID 到 cookie 中,而不会保存 session。session 不会因为浏览器的关闭而删除,只能通过程序调用 HttpSession.invalidate() 或超时才能销毁。

服务端能存储多个sessionId么?

是的,服务器中维护着一个session池对象,对于每一个访问者来说都将随机不重复的产生一个sessionid对象存储在客服端的浏览器cookie中。

方案二 LocalStorage跨域(能让cookie跨域传递的办法)

首先从浏览器方面考虑:目前浏览器对 Cookie 的跨域限制越来越严格。Chrome 浏览器还给 Cookie 新增了一个 SameSite 属性,此举几乎禁止了一切跨域请求的 Cookie 传递(超链接除外),并且只有当使用 HTTPs 协议时,才有可能被允许在 AJAX 跨域请求中接受服务器传来的 Cookie。

所以我们开始从实现方面考虑:在前后端分离的情况下,完全可以不使用 Cookie,我们可以选择将 Session ID (或 Token )保存到浏览器的 LocalStorage 中,让前端在每次向后端发送请求时,主动将 LocalStorage 的数据传递给服务端。这些都是由前端来控制的,后端需要做的仅仅是在用户登录成功后,将 Session ID (或 Token )放在响应体中传递给前端。

在这样的场景下,单点登录完全可以在前端实现。前端拿到 Session ID (或 Token )后,除了将它写入自己的 LocalStorage 中之外,还可以通过特殊手段将它写入多个其他域下的 LocalStorage 中。

上面说的特殊手段,就是用iframe和postMessage实现,比如a,b两个域,可以通过在a中使用iframe包含入b的页面,然后利用postMessage将localStorage数据发送至b的页面,在b中利用window.onmessage进行监听。

snow0617
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于 SpringBoot + Spring 开发单点登录管理系统.zip
04-04
毕业设计可以包括文献综述、需求分析方案设计、实施与测试等多个阶段,以确保整个过程的科学性和系统性。 其次,毕业设计的完成通常需要学生具备一定的独立思考和解决问题的能力。在研究过程中,学生可能需要采用...
单点登录SSO的实现原理
赵先森
05-28 6460
单点登录SSO的实现原理 单系统登录机制 浏览器第一个请求服务器,服务器会创建一个会话,并将会话的ID作为响应的一部分发送给浏览器,浏览器存储会话ID,并在后续的请求中带上会话ID,服务器取得请求中的会话ID就知道是不是同一个用户了。 浏览器存储会话ID的两种方式 参数 将会话ID作为每一个请求的参数,服务器接收请求并解析会话ID,就可以判断是否来自同一个会话,此方式不可靠...
MySQL学习总结(十)变量/系统变量全局变量会话变量/自定义变量用户变量局部变量/存储过程/参数模式/函数/函数和存储过程的区别/流程控制结构/分支结构IF结构CASE结构/循环结构
ZaynFox的博客
05-12 1290
一、变量 (一)系统变量 说明:系统变量由系统提供,不是用户定义,属于服务器层面。系统变量又分为全局变量和会话变量。 1.全局变量 (1)查看所有的系统变量 语法: SHOW GLOBAL VARIABLES; (2)查看满足条件的系统变量 语法: SHOW GLOBAL VARIABLES 条件; 案例: SHOW GLOBAL VARIABLES LIKE '%character%'; (3)查看指定的某个系统变量的值 语法: SELECT @@global.系统变量名; 案例: SELECT
Java单点登录(SSO)实现指南:深度解析与全面实践
喔的嘛呀的博客
03-23 1314
单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整的Java代码实现。实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。
mysql中全局变量、会话变量、用户变量和局部变量的区别
weixin_41280381的博客
02-22 3531
会话变量:会话变量在每次建立一个新的连接的时候,由MYSQL来初始化。MYSQL会将当前所有全局变量的值复制一份。来做为会话变量。(也就是说,如果在建立会话以后,没有手动更改过会话变量与全局变量的值,那所有这些变量的值都是一样的。) 全局变量:在服务器启动时,会将每个全局变量初始化为其默认值(可以通过命令行或选项文件中指定的选项更改这些默认值)。mysql有很多全局变量,包括系统的一些基本信息,以及mysql的一些基本配置(例如 connect_timeout 默认10s)都可以在全局变量中查到。 1.
MySQL中全局变量、会话变量、用户变量和局部变量的区别
AlbertS Home of Technology
12-06 9040
之前在项目的存储过程中发现有通过 `DECLARE` 关键字定义的变量如`DECLARE cnt INT DEFAULT 0;`,还有形如 `@count` 这样的变量,存储过程中拿过来直接就进行设置,像这样`set @count=1;`,这两种类型的变量究竟有什么区别却弄不清楚,赶紧上网查询资料,发现还有`@@sql_mode`这样的变量,这一个圈俩圈的到底是什么啊?会不会出现三个圈的情况?
SSO单点登录
程序员小强的博客
02-05 5209
本文主要讲解SSO登录相关知识点, 主要从以下几个方面 是什么? 能做什么? 优缺点 登录完整流程图解 注销流程 总结 1.SSO是什么 单点登录的英文名叫做:Single Sign On(简称SSO)。 SSO是一种统一认证和授权机制,作用在多个应用系统,或者是分布式系统中,用户只需一次登录,就可以访问所有相互信任的其它应用系统,实现自动登录。 比如网页端的淘宝网和天猫商城,如果你登录了淘宝你会发现天猫也自动登录了。 2.SSO能做什么 统一登录 (一次登录,多平台共享); 完善的统一认证中心还可
HttpSession理解学习
hi_sir_destroy的博客
04-20 505
1.HttpSession 1). HttpSession:在服务器端保持HTTP状态的方案。和其对应的是Cookie 2). 产生HttpSession对象的过程:当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求是否包含一个session标识(即sessionID),如果已经包含一个sessionId则说明已经创建了一个session,服务器就按照sess...
单点登陆设计
qq277165811的专栏
04-26 736
一登陆流程怎么设计和编码1名词扫盲 2登陆设计 3 token安全性一、登陆流程怎么设计和编码1.1名词扫盲 认证中心:一个独立的服务,用于统一认证和统一权限 客户端:任何一个子系统 过滤器:客户端common类,任何客户端都需要依赖,所有有关权限的操作都要经过过滤器进行委托认证 全局会话:认证中心和浏览器的会话 局部会话:客户端自己的会话(客户端和浏览器的会话) 局部会话存在,全局会话一定存在
SSO基于全局Session和局部Session的实现
Coder_Joker的博客 joke a joker
05-24 6106
推荐一下自己的一个数据结构与算法整合的库,还处于更新状态 2019-01-12 18:23 更: demo明天给出 .   emmmmm我记得这个demo应该是18年的啊,怎么19是上个月给的?蛤?--- 2019-01-13 18:51 更: https://github.com/ItsFunny/examples/tree/master/sso_demo 什么是sso:single si...
SpringSession单点登录(Single Sign On)
asmall_cat的博客
05-09 2143
什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,企业间需互相授信。 -->微服务 客户端-->-------------<--sso服务 -->微服务 一、 分布式系统 Session 共享方案 1 分布式系统中 HttpSession...
DM杂志策划方案.doc
05-19
DM杂志策划方案 一、目标市场分析(SWOT) (一)、概述 本校约有1.5万在校学生,统计调查表明,在校大学生月人均消费 元左右,月消费总量约 元左右,不难看出其消费市场的规模和吸引力。 对企业而言,高校市场...
乙二醇装置氮气置换方案.doc
06-11
《乙二醇装置试车方案》; 《乙二醇装置PID流程图》。 3.置换原则及要求 氮气置换应以管内可能达到的最大流量或不小于20m/s的流速进行,装置的氮气分别由各化工单元配置的氮气管线加入,控制氮气升压速率为0.01MPa...
厨房智能监控系统(下位机源码+APP+设计分析)-电路方案
04-22
如果仅仅是学习测试使用,甚至可以直接用官方给的IOE Dome测试,因为这个Dome里没有都设备的product key进行筛选,所以凡是接入到机智云的Gokit开发板在局域网里都能被这个Dome APP找到并连接。 这里给一个智能厨房...
玻璃幕墙施工方案.doc
04-22
小单元建筑幕墙:由金属副框、各种单块板材,采用金属挂钩与立柱、横梁连接的可拆装的建筑幕墙。 o.结构胶:半隐框和全隐框玻璃幕墙中玻璃与铝合金构件、玻璃板与玻璃板之间结构受力粘结用的高模数中性硅酮密封材料...
链表刷题集
yajunjiao的专栏
04-30 813
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1809
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1353
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 654
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
autosar学习资料
06-27
AutoSAR学习资料的学习过程需要注意以下几点。首先,需要有一定基础的汽车电子和软件开发知识;其次,需要结合项目实践和案例分析来加深理解和掌握AutoSAR标准;最后,应该围绕开发人员的实际需求和工作场景来深入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值