Spring Boot项目中实现单点登录(SSO)完整指南

最新推荐文章于 2025-05-30 17:30:15 发布
最新推荐文章于 2025-05-30 17:30:15 发布
阅读量1k 收藏 6
点赞数 13
分类专栏: 笔记 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wa_ka_ka/article/details/148293899
版权

单点登录(Single Sign-On, SSO)是一种身份验证机制,允许用户使用一组凭证(如用户名和密码)登录多个相关但独立的系统。

一、单点登录的核心原理

SSO的核心原理使集中认证、分散授权,主要流程如下:

1.用户访问应用A

2.应用A检查本地会话,发现未登录

3.重定向到SSO认证中心

4.用户在认证中心登录

5.认证中心创建全局会话,并颁发令牌

6.用户携带令牌返回应用A

7.应用A向认证中心验证令牌

8.认证中心返回用户信息,应用A创建本地会话

9.用户访问应用B时重复2-8流程(但无需重复登录)

二、Spring Boot实现SSO的三种主流方案

方案1:基于OAuth2的实现(推荐)
1.添加依赖
<!-- Spring Security OAuth2 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
2.认证中心配置
@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("client1")
            .secret(passwordEncoder().encode("secret1"))
            .authorizedGrantTypes("authorization_code", "refresh_token")
            .scopes("read", "write")
            .redirectUris("http://localhost:8081/login/oauth2/code/client1")
            .autoApprove(true);
    }
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
3.资源服务配置
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/api/**").authenticated()
            .anyRequest().permitAll();
    }
}
4.客户端应用配置
# application.yml
spring:
  security:
    oauth2:
      client:
        registration:
          sso:
            client-id: client1
            client-secret: secret1
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
            scope: read,write
        provider:
          sso:
            issuer-uri: http://localhost:8080
方案2:基于JWT实现
1.添加依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
2.JWT工具类
public class JwtTokenUtil {
    
    private static final String SECRET = "your-secret-key";
    private static final long EXPIRATION = 86400000; // 24小时
    
    public static String generateToken(UserDetails userDetails) {
        return Jwts.builder()
            .setSubject(userDetails.getUsername())
            .setIssuedAt(new Date())
            .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION))
            .signWith(SignatureAlgorithm.HS512, SECRET)
            .compact();
    }
    
    public static String getUsernameFromToken(String token) {
        return Jwts.parser()
            .setSigningKey(SECRET)
            .parseClaimsJws(token)
            .getBody()
            .getSubject();
    }
}
3.认证过滤器
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    
    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                  HttpServletResponse response, 
                                  FilterChain chain) throws IOException, ServletException {
        String token = resolveToken(request);
        
        if (token != null && validateToken(token)) {
            String username = JwtTokenUtil.getUsernameFromToken(token);
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
            
            UsernamePasswordAuthenticationToken authentication = 
                new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        
        chain.doFilter(request, response);
    }
    
    private String resolveToken(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}
方案3:基于CAS实现
1.添加CAS客户端依赖
<dependency>
    <groupId>org.jasig.cas.client</groupId>
    <artifactId>cas-client-support-springboot</artifactId>
    <version>3.6.4</version>
</dependency>

2.CAS配置

@Configuration
public class CasConfig {
    
    @Value("${cas.server.url}")
    private String casServerUrl;
    
    @Value("${cas.service.url}")
    private String serviceUrl;
    
    @Bean
    public FilterRegistrationBean<AuthenticationFilter> casAuthenticationFilter() {
        FilterRegistrationBean<AuthenticationFilter> registration = new FilterRegistrationBean<>();
        registration.setFilter(new AuthenticationFilter());
        registration.addInitParameter("casServerLoginUrl", casServerUrl + "/login");
        registration.addInitParameter("serverName", serviceUrl);
        registration.addUrlPatterns("/*");
        return registration;
    }
    
    @Bean
    public ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> casSingleSignOutListener() {
        return new ServletListenerRegistrationBean<>(new SingleSignOutHttpSessionListener());
    }
}

三、SSO实现的关键技术点

1.会话管理

  • 分布式会话:使用Redis存储会话信息

    @Bean
public RedisIndexedSessionRepository sessionRepository(RedisOperations<String, Object> redisOperations) {
    return new RedisIndexedSessionRepository(redisOperations);
}

  • Session共享配置

    spring:
  session:
    store-type: redis
    redis:
      flush-mode: on_save
      namespace: spring:session
2.跨域问题解决
@Configuration
public class CorsConfig implements WebMvcConfigurer {
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedOrigins("*")
            .allowedMethods("GET", "POST", "PUT", "DELETE")
            .allowedHeaders("*")
            .allowCredentials(true)
            .maxAge(3600);
    }
}
3.安全配置
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/login", "/oauth/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .and()
            .logout()
            .logoutUrl("/logout")
            .logoutSuccessUrl("/")
            .invalidateHttpSession(true)
            .deleteCookies("JSESSIONID");
    }
}

四、SSO实现的最佳实践

1.安全性考虑:
  • 使用HTTPS加密所有通信
  • 实现令牌的短期有效性(设置合理的过期时间)
  • 防范CSRF攻击
2.性能优化:
  • 使用缓存减少令牌验证的数据库查询
  • 实现令牌的自动续期机制
3.用户体验:
  • 实现无缝跳转,避免多次重定向
  • 提供清晰的登录状态提示
4.监控与日志
  • 记录所有认证事件
  • 实现异常登录的告警机制

五、三种SSO方案对比

方案优点缺点适用场景
OAuth2标准协议,安全性高,扩展性强实现复杂度较高企业级应用,多平台集成
JWT无状态,性能好,适合分布式系统令牌无法主动失效微服务架构,前后端分离
CAS专为SSO设计,功能完善需要额外部署CAS服务器传统企业应用,教育系统

六、常见问题解决方案

1.令牌失效问题
  • 实现令牌刷新机制
  • 使用Redis黑名单管理已注销令牌
2.跨域会话问题

  • 设置正确的Cookie域和路径

    @Bean
public CookieSerializer cookieSerializer() {
    DefaultCookieSerializer serializer = new DefaultCookieSerializer();
    serializer.setCookieName("JSESSIONID");
    serializer.setCookiePath("/");
    serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$");
    return serializer;
}
3.多因素认证集成
@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/login").permitAll()
        .antMatchers("/mfa-verify").hasRole("PRE_AUTH")
        .anyRequest().fullyAuthenticated()
        .and()
        .formLogin()
        .loginPage("/login")
        .successHandler((request, response, authentication) -> {
            if (needsMfa(authentication)) {
                response.sendRedirect("/mfa-verify");
            } else {
                response.sendRedirect("/home");
            }
        });
}
Java实现单点登录SSO)详解:从理论到实践
喔的嘛呀的博客
07-04 2304
单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整Java代码实现实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。
单点登录SSO)实战:基于Vue与Spring Boot的深度实现
2401_86966801的博客
04-01 613
在分布式系统架构中,单点登录(Single Sign-On)如同企业级应用的"万能钥匙",用户只需在统一认证中心完成一次身份验证,即可访问所有互信系统。其核心在于建立可信的令牌传递机制,我们选择JWT(JSON Web Token)作为载体,结合OAuth2简化模式实现轻量级SSO方案。
Spring Boot中集成JWT实现用户认证以及单点登录
fengjing81的专栏
06-21 798
Spring Boot中集成JWT(JSON Web Tokens)以实现单点登录SSO, Single Sign-On)和前后端分离的验证是一个常见的做法。JWT允许你在前后端之间安全地传输用户信息,无需在服务器端存储会话信息。
Spring Boot 基于 Shibboleth 实现单点登录:原理、实践与优化指南
weixin_42593797的博客
05-05 790
在数字化校园、政务云等跨机构协同场景中,单点登录SSO)需求尤为迫切。Shibboleth 作为一种基于 SAML(安全断言标记语言)的开源框架,专为解决跨组织身份认证而生,被广泛应用于教育、政府等领域。本文将深入剖析 Spring Boot 集成 Shibboleth 实现单点登录的技术细节,涵盖原理、实践、优化等内容,并提供详细代码示例。通过本文对 Spring Boot 基于 Shibboleth 实现单点登录的深入解析,我们掌握了从原理到实践的全流程技术细节。
Smart-SSO单点登录(三):接入指南
a466350665的专栏
06-17 2433
SpringBoot应用接入到smart-sso,只需要简单的三步。
(二)spring security:使用 OAuth2 SSO 实现单点登录
yanfei_1986的博客
10-30 1915
一、前言 在阅读这篇文章时,原理和配置细节,我就不再写了(不一定有别人写的好o(* ̄︶ ̄*)o)。最好先阅读以下参考文献,详细阅读 OAuth 2.0相关文章;这样,你去看别人的博客时,才不会手忙脚乱、不知所措。而且,你会领悟 spring OAuth 2是如何配置、如何实现、原理是什么,才能已"架构师"的思想,在企业的应用环境中熟练应用与掌握它。 下一篇文章,我将已截图和UML图的形式,展示 spring OAuth 2设计的精华所在,堪称艺术品! 本文所采用的模式是最复杂的...
JWT与Spring Boot:安全认证的完整实现指南
专注分享编程开发与技术进阶干货!
03-31 1035
本文深入剖析JWT原理,结合Spring Boot实战,详解从项目搭建到认证授权的全过程。面向Java开发者,提供清晰步骤与案例,帮助快速掌握JWT在安全认证中的应用。
基于Spring Security OAuth2.0实现单点登录SSO完整源码】
公众号-老炮说Java
12-07 486
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达上一篇:这300G的Java资料是我师傅当年给我的,免费分享给大家下一篇:昨天分享资料不小心把百度网盘深处的秘密泄露了作者:半夜...
Spring Boot JWT实现单点登录详解
在这个指南中,我们将深入探讨如何在Spring Boot项目中利用JSON Web Tokens (JWT) 实现单点登录(Single Sign-On, SSO)单点登录是一种设计模式,允许用户在多个系统之间仅需一次登录就能访问所有受信任的平台,简化...
spring security oauth2 实现SSO单点登录案例.rar
03-18
在本案例中,我们将探讨如何利用Spring Security OAuth2实现SSO(Single Sign-On)单点登录功能。 SSO是一种让用户只需一次登录就能够访问多个相互信任的应用系统的技术。在企业环境中,这种功能能够极大地提高用户...
JEECG 单点登录说明文档
02-21
JEECG智能开发平台的单点登录SSO)功能是通过集成Kisso实现的,Kisso是一个轻量级Java权限框架,它利用加密会话cookie机制来实现单点登录服务。单点登录是一种用户登录认证方法,允许用户在多个应用系统中,只通过...
Spring Boot+OAuth2实现单点登录(SSO)教程与示例
资源摘要信息: "sso-demo"是一个演示项目,旨在展示如何利用Spring Boot框架以及Spring Security OAuth2模块来构建一个单点登录(Single Sign-On,简称SSO)应用程序。SSO是一种用户认证过程,允许用户使用一组登录...
Spring Boot 中 @RequestParam 和 @RequestPart 的区别详解(含实际项目案例)
最新发布
Mylvzi的博客
05-30 656
比较点适用请求类型适用参数类型简单类型(字符串、文件、数字)复杂类型(JSON 对象、多个文件、嵌套结构)JSON 自动转换❌ 不支持✅ 支持(通过 HttpMessageConverter)常见使用场景普通表单提交、单文件上传JSON + 文件上传、富表单场景理解和的使用场景,能够帮助我们在设计接口时做出更合适的技术选择,也能避免参数绑定错误、JSON 转换失败等常见问题。✍️ 作者:Lvzi📅 时间:2025年。
Spring Boot+Activiti7入坑指南初阶版
Leroy的博客
05-29 864
Activiti 是一个轻量级工作流程和业务流程管理 (BPM) 平台,面向业务人员、开发人员和系统管理员。其核心是一个超快且坚如磐石的 Java BPMN 2 流程引擎。它是开源的,并根据 Apache 许可证分发。Activiti 可以在任何 Java 应用程序、服务器、集群或云中运行。它与 Spring 完美集成,非常轻量级并且基于简单的概念。
Spring Boot微服务架构(八):开发之初就引入APM工具监控
软件行业技术文化交流。
05-28 968
使用 APM(Application Performance Management)工具监控 Spring Boot 应用,可以帮助开发者实时追踪性能瓶颈、分析调用链路、监控资源使用情况,并快速定位故障。
基于Spring Boot+Vue 网上书城管理系统设计与实现(源码+文档+部署讲解)
再渺小的星光,也有属于它的光芒
05-30 588
技术范围:SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等设计与开发。主要内容:免费功能设计、开题报告、任务书、中期检查PPT、系统功能实现、代码编写、论文编写和辅导、论文降重、长期答辩答疑辅导、腾讯会议一对一专业讲解辅导答辩、模拟答辩演练、和理解代码逻辑思路。🍅文末获取源码联系🍅🍅文末获取源码联系🍅🍅文末获取源码联系🍅👇🏻 精彩专栏推荐订阅👇🏻 不然下次找不到哟。
Spring Boot 整合 JdbcTemplate,JdbcTemplate 与 MyBatis 的区别
hutao8896的博客
05-28 661
Spring Boot 整合 JdbcTemplate,JdbcTemplate 与 MyBatis 的区别
Spring Boot测试框架全面解析
静水深流
05-29 802
Spring Boot测试框架通过模块化设计提供了从单元测试到集成测试的完整解决方案,其核心优势在于智能的自动配置机制大幅降低了测试复杂度。框架通过精心设计的注解体系,实现了不同测试场景的无缝覆盖。
Spring Boot 整合 Spring Data JPA、strategy 的策略区别、什么是 Spring Data JPA
hutao8896的博客
05-29 791
Spring Boot 整合 Spring Data JPA、strategy 的策略区别、什么是 Spring Data JPA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值