SSO依然是BAT的面试重点

最新推荐文章于 2023-07-28 23:53:50 发布
最新推荐文章于 2023-07-28 23:53:50 发布
阅读量271 收藏
点赞数
分类专栏: java回顾
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30947631/article/details/104497404
版权
电话面试中遇到的SSO问题引发了对Apache Shiro的深入复习,特别是JwtBuilder接口在单点登录中的作用,包括设置Subject、过期时间和claim等。Shiro的Subject是主体获取的关键。理解SSO流程,需要关注角色校验和权限校验的代码实现。
摘要由CSDN通过智能技术生成 
yiqing期间是否你也准备着无数的面试**是的I am keepping interviewed**

上周电话面试了某B公司,印象最深的还是那个单点登录的问题,毕竟很多底层的问题以后再分享,比如聊聊AQS等,不过这节先谈谈SSO,毕竟老生常谈的东西,再次复习一下,表示对Apache的shiro的复习。

  1. JwtBuilder
    这个接口是shiro单点登录的核心部分,比如设置了Subject,过期时间以及claim等,而返回的token就是通过String jws =jwtBuilder.compact();
    贴一部分代码
public static String createToken(String oaOwnerUserId,String url,Map<String,Object> otherParam) {
		try {
			JwtBuilder jwtBuilder = Jwts.builder()
					.setSubject("oa 代办")
					.setIssuer(oaOwnerUserId)
				    .setExpiration(DateUtils.addDays(new Date(), 60))				    
				    .setIssuedAt(new Date())
				    .setId(UUID.randomUUID().toString())
					.claim("redirect_url", url)
					.signWith(key);
			if(otherParam !=null && !otherParam.isEmpty()) {
				for(Map.Entry<String, Object> entry : otherParam.entrySet()) {
					jwtBuilder.claim(entry.getKey(), entry.getValue());					
				}
			}
			String jws =jwtBuilder.compact();
			return Base64.getUrlEncoder().encodeToString(jws.getBytes());
		}catch(Exception e) {
			e.printStackTrace();
			return null;
		}
	}

当然跟这个方法配套使用的就是解码校验的方法 ,也是比较简单

public static AjaxResult< Map<String, Object>> verifyToken(String token) {
		try {
			String decoderToken = new String (Base64.getUrlDecoder().decode(token));
			Jws<Claims> claims = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(decoderToken);
			String oaOwnerUserId = claims.getBody().getIssuer();
			return AjaxResult.ok().put("redirect_url", claims.getBody().get("redirect_url"))
			               .put("userId", oaOwnerUserId);			
		}catch(Exception e) {
			e.printStackTrace();
			return AjaxResult.error(AjaxResult.ERR_AUTHORIZE_ERROR, "oa代办登陆失效");
		}
	}

基本上提供加密以及解码的方法提供了,然后往下就是在移动端或者PC端进行调用处理

  1. Subject
    这是shiro里面的主体获取是需用他提供的工具类
Subject subject = SecurityUtils.getSubject();
        //生成一个token
        String token = TokenGenerator.generateValue();
        super.subjectMap.put(token,subject);
        if(subject!=null){
            OAuth2Token auth2Token = new OAuth2Token(token);
            auth2Token.setPassword(loginAsk.getPassword());
            auth2Token.setUserName(loginAsk.getName());
            subject.login(auth2Token);
            logger.info("==>subject :"+subject);
        }

通过这一块的代码就可以明确的了解到生成的token以及需要从oauth到token的转换过程是需要OAuth2Token继承org.apache.shiro.authc.AuthenticationToken,从而可以重写方法

@Override
    public String getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }

获取到了token以及Subject之后就可以处理对应的数据库IO操作进行校验

if(!subject.isAuthenticated()){
            //记录登录失败日志
        }

整个过程核心的部分都大概介绍了,主要还是需要对shiro的角色校验以及权限校验的代码进行debug进去才看清楚这个框架为什么有这样的写法,优缺点是什么。因此这里为了更全面的了解整个SSO的流程这里有一篇推荐文章

孤独的投机家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文全面介绍JWT框架知识
m0_73311735的博客
11-27 2515
复制代码每次调用claim时,它只是将键-值对附加到内部的Claims实例,可能会覆盖任何现有的同名键/值对。显然,您不需要为任何标准的claim名称调用claim,建议相反调用标准的setter方法,这样可以增强可读性。
Spring Security(7) jwt整合
愤怒的菜鸟博客
03-28 2121
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的
spring boot整合JWT
weixin_52601258的博客
03-22 964
spring boot整合jwt入门
JWT令牌的使用以及一些算法
可小辉的博客
05-01 5403
Base64 编码:字节数组(文本或其他格式)64个字符的表示形式 -解码: 散列算法 散列函数生成信息的摘要(数据的指纹。唯一标识),摘要信息长度固定 MD5,SHA-128,SHA-256 数据完整性的校验, 秒传,先发散列值,判断服务器是否存在 散列值无法变成原始数据(不可逆) 密码在数据库的存储,散列函数+盐 不能找回密码,只能重置 加密算法 ...
初步理解JWT并实践使用
热门推荐
小山半白的博客
01-12 11万+
  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因...
koa2-sso:也是cas中间件
05-08
Koa CAS认证 这是设计用于Koa服务器的CAS身份验证库。 它提供了两个中间件功能来控制对路由的访问: bounce :将未经身份验证的客户端重定向到CAS登录页面,然后返回到请求的页面。 block :完全拒绝访问未经身份...
SSO是什么?CAS是什么?
01-20
SSO,全称为Single Sign-On,中文译为“单点登录”,是一种网络用户身份验证的机制。在SSO系统中,用户只需要在一个应用系统中进行登录,之后便可以在其他相互信任的应用系统中自由切换,无需再次输入用户名和密码。...
sso.rar_sso
09-21
标题 "sso.rar_sso" 暗示了这是一个关于.NET平台下的单点登录(Single Sign-On,简称SSO)实现的压缩包。SSO是一种网络认证机制,它允许用户在一个应用系统中登录后,无需再次认证即可访问其他相互信任的应用系统。...
sso.rar_sso_sso java
09-23
SSO(Single Sign-On)是单点登录的缩写,是一种网络身份验证机制,它允许用户在一次登录后访问多个应用程序或服务,而无需再次输入凭证。SSO 提供了便利性和安全性,尤其是在大型企业或拥有众多子系统的环境中,...
sso.zip_sso_sso java
09-20
在这个"**sso.zip_sso_sso java**"压缩包中,我们可以看到是针对Java项目实现的一套基于Memcached的SSO解决方案。 Memcached是一个高性能、分布式内存对象缓存系统,常用于减轻数据库负载,通过将数据缓存到内存中...
jwt实现
m0_72729869的博客
07-29 3931
JSONWebtoken简称JWT,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWTS的应用程序不再需要保存有关其用户的cookie或其他session数据。此特性便于可伸缩性,同时保证应用程序的安全。...
jwt 及springboot实现
身体,灵魂,技术。总要有一个在前进
03-25 1070
什么是JWT JSON Web Token 通过数字签名的方式,以json对象为载体,在不同服务中端之间安全的传递信息。 JWT作用 JWT最常见的场景是授权登录,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都会先进行JWT安全验证,通过之后再进行处理,例如公司进出时的工牌 JWT的组成 JWT总共由三部分组成,并用.拼接 例如 sakakhvhhjasvx5as6xsaxxs51a6.xasyjxsvaxsa6545sx6asxbahvxshsx1a+saxsxn
JWT学习笔记
m0_64590755的博客
07-19 505
存放用户自定义信息,通常会把用户信息和令牌到期时间放在这里,同样是一个Json对象,里面的key和value可以随意设置,经过Base64 Url编码后形成JWT的第二部分,由于部分是没有加密的,建议只存放非敏感信息。JWT最常见的常见就是授权认证,一旦用户登录,后续的每个请求都将包含JWT,系统在每次处理用户请求之前,都要先进行JWT安全验证,通过之后再进行处理。使用表头的算法和私钥对第一部分和第二部分进行加密,通过Base64 Url编码后形成JWT的第三部分。是一个密钥,用于生成签名。
使用jwt令牌解析时出现的一个错误
MOYUTUDOU的博客
07-28 949
中的值的类型来自动选择合适的方式进行编码。由于Java是强类型语言,JJWT库在编码时会将数字类型统一转换为浮点数类型(Double),以便于解码时正确还原。所以后来解析出来了一个Double,修改后为。return Result.error("用户名或密码错误");这是错误类型,Double无法强制转换为Integer。log.info("员工登录{}",emp);使用AOP统计操作日志报错,最后发现在。}这是生成jwt令牌的函数。这是jwt的解析函数。
JWTs使用简介
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
03-28 3万+
JWTs使用简介 什么是JWT JSON Web Token (JWT)是一种基于 token 的认证方案。 简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数...
Jwts.‘parser()‘ 已经过时了 & ‘setSigningKey(java.security.Key)‘ 已经过时了
weixin_48121276的博客
03-16 2374
Jwts.'parser()' 已经过时了
JWT基本使用
weixin_42129939的博客
05-04 1495
JWT的Java基本使用,解析和生成
Java 服务端签发 JWT 作为 access token,以及相关问题
倪琛的博客
08-15 965
目录背景什么是 JWT(JSON Web Token)Java 实现签发和校验 JWT签发校验客户端如何储存 JWT?如何退出登录? 背景 最近我们的游戏充值平台在搞用户登录系统,准备支持 Google 和 Facebook 两种快捷登录方式。 用户首先从第三方平台(例如 Google)拿到 Google 的 access token,传给我们的服务端,我们再请求 Google 的 token 校验服务,确认该用户的 Google user id。 理论上来说,如果 Google 和 Facebook 签发
web-security第五期:使用Spring Security+JWT实现基于令牌的访问
Swing
06-11 3532
源码地址:链接(Spring-Security) 前两期分别分析了Spring Security Authentication 和 JWT,这一节组合这两个技术,完成 记住我的功能 1.令牌工具类 使用上一期的知识,很容易写一个下面的令牌操作工具类: /** * 登录令牌操作 * * @author swing */ public class JwtService { /** * 令牌有效期(30分钟) */ private static final .
sso单点登录面试回答
最新发布
09-18
面试中,回答SSO单点登录相关问题,可以从以下几个方面进行回答。 首先,可以介绍SSO的工作原理。可以解释说,当用户在通过一次身份验证后,SSO系统会为用户生成一个令牌(Token),然后将该令牌传递给其他关联...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值