背景:
每个web应用都有自己的session,那如何在分布式或者集群环境下统一session,即如何实现单点登录,如下图
解决方案:
把session数据存放在redis,统一管理,向外提供服务接口,redis可以设置过期时间,对应session的失效时间
优点:存取速度快,效率高;无单点故障,可以部署集群;自定义登录页面(即每个应用都可以设计自己的登录页面)
缺点:必须部署redis;所有程序自行开发,例如:登录、登出等。
系统架构,只关注Taotao-sso和redis缓存即可,如下图:
基于redis实现的单点登录这套方案比SSO CAS来说比较简单,容易上手,主要是依赖每个应用的拦截器和redis实现单点登录
SSO需要提供的接口如下:
登录,根据用户名和密码查询数据库,如存在则生成token保存在redis,token作为key,用户信息作为value,设置过期时间,然后把token保存到cookie,固定key,token作为value;
根据token查询用户信息,根据token作为key查询redis的值,如存在重新设置过期时间(即已登录),不存在即未登录
登出,根据token作为key删除redis的值
拦截器流程图如下:
拦截器代码如下:
public class OrderInterceptor implements HandlerInterceptor {
@Autowired
private UserService userService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
//取用户token
String token = CookieUtils.getCookieValue(request, "TT_TOKEN");
//判断是否为空
if (StringUtils.isBlank(token)) {
//如果为空就是未登录状态
//跳转到登录页面
response.sendRedirect(userService.getLoginUrl() + "?redirect=" + getBaseURL(request));
return false;
} else {
//如果能取到token说明用户可能已经登录
//从sso中取用户信息,判断用户是否登录
TbUser user = userService.getUserByToken(token);
//判断用户是否过期
if (user == null) {
//跳转到登录页面
response.sendRedirect(userService.getLoginUrl() + "?redirect=" + getBaseURL(request));
return false;
} else {
//用户已经登录,把用户信息放到request中
request.setAttribute("user", user);
}
}
//放行
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
// TODO Auto-generated method stub
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub
}
private String getBaseURL(HttpServletRequest request) {
String url = request.getScheme()
+ "://"
+ request.getServerName()
+ ":"
+ request.getServerPort()
+ request.getContextPath()
+ request.getRequestURI();
return url;
}
}
主要的流程已描述了,是不是比较简单;但这个方案还有一点瑕疵,就是跨域获取不了cookie,这个也是有解决方案的,以后有时间再补充。