Spring Security 单点登出

最新推荐文章于 2023-12-17 08:37:39 发布
最新推荐文章于 2023-12-17 08:37:39 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: security JAVA 文章标签: spring java kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42555971/article/details/127725143
版权

文章目录


oauth 2.0 服务端可以参考文章: Spring Security oauth2.0 服务端
 
oauth 2.0 单点登录可以参考文章: Spring Security 单点登录
 

背景

单点登出
如何理解单点登出呢?
举例说明:A、B、C 三个系统已登录,若干时间后,A系统主动登出,触发 B、C系统被动登出,即一个系统登出,所有系统也登出

TOKEN
业务系统判断登出的关键参数,就是 TOKEN,而 TOKEN 一般有两种方式,一种是不可逆加密字符串,一种是JWT
这两种 TOKEN 分别如何校验其合法性呢?

  1. 加密字符串:调用 sso 服务的 /check/token 接口
  2. 根据 JWT 的 key,用算数的方式判断,详情可参考 Spring Security oauth2.0 客户端

 

方案1

第一种方案的单点登出方式比较简单:

  1. A系统主动登出,调用 sso 的登出接口 /logout
  2. sso 使 token 失效
  3. B、C 系统校验 token,即调用 sso 的 /check/token 接口
  4. B、C 系统得知 token 已失效,实现单点登出

然而实际项目中,一般不会使用这种方案,为什么呢?
因为业务系统的每个请求都访问一次 sso 的 /check/token 接口,会导致 sso 的 qps 非常之大,不符合实际情况,而 JWT 就是为解决这种场景应运而生的

 

方案2

JWT的单点登出方案就略为复杂了,因为 A系统登出后,虽然可以通知 sso 使 token 失效,但 B、C系统是基于 JWT 算数方式的来判断 token 有效性的,所以无法使 B、C系统登出

解决方案

  1. A 系统主动登出,请求 sso 的登出接口 /logout
  2. sso 发送 kafka 消息,广播通知 B、C 系统需要登出
  3. B、C 系统收到消息后,使 token 失效

  

/logout
推送消息
分发消息
分发消息
分发消息
A系统登出
sso
kafka
B 系统
C 系统
D 系统

pom 文件添加 kafka 依赖

<!-- kafka -->
<dependency>
    <groupId>org.springframework.kafka</groupId>
    <artifactId>spring-kafka</artifactId>
</dependency>

 
application 添加 kafka 配置

spring:
  kafka:
    bootstrap-servers: 192.168.100.1:9092

 
登出处理器 LogoutSuccessHandler

  • 引入 KafkaTemplate
  • kafka 向登出 topic 发送用户 userName
  • 执行父类的 handle 函数
@Slf4j
@Component
public class AuthLogoutSuccessHandler extends SimpleUrlLogoutSuccessHandler {

    @Autowired
    KafkaTemplate kafkaTemplate;

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

        if (!Objects.isNull(authentication)) {
            String userName = authentication.getName();

            try {
                JSONObject obj = new JSONObject();
                obj.put("userName", userName);
                String msg = obj.toJSONString();
                kafkaTemplate.send("logout", msg);
                log.info("登出发送kafka成功,msg:{}", msg);
            } catch (RuntimeException e) {
                log.error("登出成功后,发送kafka报错:{}", e);
            }
        }
        super.handle(request, response, authentication);
    }
}

 
WebSecurityConfigurerAdapter 添加 LogoutSuccessHandler

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private AuthLogoutSuccessHandler logoutSuccessHandler;

	...
  
    /**
     * HTTP请求安全处理
     *
     * @param http 不需要鉴权的请求可以在这里配置
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
                .formLogin()
                .loginPage("/login")
                .permitAll()

                .and()
                .authorizeRequests()
                .antMatchers("/test/**", "/oauth/**", "/login").permitAll()
                .antMatchers("/assets/**", "/css/**", "/images/**").permitAll()
                .anyRequest()
                .authenticated()

                .and()
                .csrf()
                .disable()
                .cors()

                .and()
                .logout()
                .logoutSuccessHandler(logoutSuccessHandler)
        ;
    }
    
    ...
}

 
业务系统收到 kafka 推送后,自行使 token 失效

 

前端同时登出

由于后台处理 token 失效后,未能即时通知前端,所以只有等用户操作时,才能使系统登出。要实现前端单点登出,有两种方案

  1. 业务系统前端轮询,调用一个可以查询 token 是否有效的接口,返回失败时实现登出
  2. 使用 websocket 长连接,后端收到 token 失效时,通知前端

第一种方案比较直白,容易实现,这里暂不做讨论,下面描述下第二种方案
 
pom 文件添加依赖

<!-- websocket -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-websocket</artifactId>
</dependency>

 
websocket 实现类

  • ServerEndpoint 注解:定义 websocket 连接名,调用此接口时,开启 websocket 连接,即调用 onOpen 方法
  • onOpen:开启连接
  • onClose:关闭连接
  • onMessage:接收对方发送的消息
  • sendMessage:向所有连接此后台的另一端发送消息,即向前端发送消息
@Component
@ServerEndpoint("/websocket")
@Slf4j
@EqualsAndHashCode
public class WebSocket {

    private Session session;

    private static CopyOnWriteArraySet<WebSocket> webSocketSet=new CopyOnWriteArraySet<>();

    @OnOpen
    public void onOpen(Session session){
        this.session=session;
        webSocketSet.add(this);
        log.info("【websocket消息】 有新的连接,总数:{}",webSocketSet.size());
    }

    @OnClose
    public void onClose(){
        webSocketSet.remove(this);
        log.info("【websocket消息】 连接断开,总数:{}",webSocketSet.size());
    }

    @OnMessage
    public void onMessage(String message){
        log.info("【websocket消息】 收到客户端发来的消息:{}",message);
    }

    public void sendMessage(String message){
        for(WebSocket webSocket:webSocketSet){
            log.info("【websocket消息】 广播消息,message={}",message);
            try {
                webSocket.session.getBasicRemote().sendText(message);

            }catch (Exception e){
                log.error("【websocket消息】异常:{}", e);
                throw ErrorExceptionEnum.UNKNOWN.getValue();
            }
        }
    }
}

 
业务系统后端接收 kafka 推送的登出 topic 后,websocket 发送消息到业务系统前端

@KafkaListener(topics = "#{'${spring.kafka.topic.logout}'}",groupId = "#{'${spring.kafka.groupId.logout}'}")
public void LogoutConsumer(ConsumerRecord<String, String> record) {
    Optional<String> kafkaMessage = Optional.ofNullable(record.value());
    kafkaMessage.ifPresent(msg -> {
        JSONObject obj = JSONObject.parseObject(msg);
        String userName = obj.getString("userName");

        //发送websocket消息(重点)
        webSocket.sendMessage(userName);           
    });
}

 
前端 配置 websocket 连接,修改 App.vue 文件

  • 在 created 生命周期建立 websocket 连接
  • 根据 env 配置不同环境的域名
<template>
  <div id="app">
    <router-view />
  </div>
</template>

<script>
export default {
  name: "App",
  watch: {
    "$store.getters.name": {
      deep: true,
      immediate: true,
      handler: function (val, oldVal) {
        if (val != "" && oldVal != "" && val != oldVal) {
          location.reload();
        }
      },
    },
  },
  data() {
    return {
      path: "",
      socket: "",
    };
  },
  mounted() {
    window.onbeforeunload = (e) => {
      if (
        location.pathname != "/401" &&
        location.pathname != "/404" &&
        location.pathname != "/app" &&
        location.pathname != "/"
      ) {
        sessionStorage.setItem("refresh", location.pathname);
      }
    };
  },
  created() {
    this.init();
  },
  methods: {
    init() {
      if (typeof WebSocket === "undefined") {
        alert("您的浏览器不支持webSocket,将体验不到系统部分功能!");
      } else {
        // 实例化socket
        this.socket = new WebSocket(
          `${
            process.env.VUE_APP_WebSocket
          }external/websocket`
          //   `ws://192.168.122.70:8888/external/webSocket`
        );
        // 监听socket连接
        this.socket.onopen = this.open;
        // 监听socket错误信息
        this.socket.onerror = this.error;
        // 监听socket消息
        this.socket.onmessage = this.getMessage;
      }
    },
    open() {
      console.log("socket连接成功");
    },
    error() {
      console.log("连接错误");
    },
    getMessage(msg) {
      console.log("接收消息 :>> ", msg.data);
      if (msg.data == this.$store.getters.pernr) {
        this.$store.dispatch("user/logout");
        // 登出系统

        location.replace(
          (localStorage.getItem("uat_login_url")
            ? localStorage.getItem("uat_login_url")
            : process.env.VUE_APP_LOGIN_URL) + "logout?type=passive"
        );
      }
    },
    send() {
      this.socket.send(params);
    },
    close() {
      console.log("socket已经关闭");
    },
  },
  destroyed() {
    // 销毁监听
    this.socket.onclose = this.close;
  },
};
</script>

 
环境变量配置,.env.dev 文件

# webscoket 链接地址
VUE_APP_WebSocket = ws://dev.api.com/

此时,websocket 通道已连接,前端收到 websocket 后执行登出操作即可

我有一只肥螳螂
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud+SpringBoot+SSO单点登录之OAuth2.0登出流程(3)
m0_46411313的博客
06-10 438
上一篇我根据框架中OAuth2.0的使用总结,画了一个根据用户名+密码实现OAuth2.0的登录认证的流程图,今天我们看一下logout的流程: Java代码 /** * 用户注销 * @param accessToken * @return */ @RequestMapping(value = "/user/logout", method = RequestMethod.POST) public ResponseVO userLogout(@Req
spring security oauth2.0 前后分离注销(登出) 解决方案
热门推荐
zxm的博客
07-01 2万+
spring security实现注销功主要处理类是LogoutFilter,LogoutHandler,LogoutSuccessHandler先来看接口:LogoutHandler/** * Indicates a class that is able to participate in logout handling. * * &lt;p&gt; * Called by {@link...
Spring Security OAuth2 单点登录和登出
shpunishment的博客
05-03 1万+
文章目录1. 单点登录1.1 使用内存保存客户端和用户信息1.1.1 认证中心 auth-server1.1.2 子系统 service-11.1.3 测试1.2 单点登录流程1.2.1 请求授权码,判断未登录,返回登录页1.2.2 登录成功,继续请求授权码,未被资源所有者批准,返回批准页面1.2.3 资源所有者批准,重定向返回授权码1.2.4 客户端获取到授权码,请求Token1.2.5 获取到...
SpringSecurity-OAuth2-oidc登出流程
最新发布
andy的博客
12-17 123
springsecurity oauth2.0 自定义退出9
健康平安的活着的专栏
08-15 2860
security默认的退出 Spring security默认实现了logout退出,访问/logout: 实现逻辑: 点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。 二 自定义退出 2.1 配置文件中配置 在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置: .and() .logout() .logoutUrl("/logout") .logoutSucc.
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2813
SpringSecurity实现登录登出
从实战到原理带你彻底弄懂OAuth2
竹林幽深
05-16 237
在详细讲解oauth2之前,我们先来了解一下它里边用到的名词定义吧:Client:客户端,它本身不会存储用户快捷登录的账号和密码,只是通过资源拥有者的授权去请求资源服务器的资源,即例子中的网站A;Resource Owner:资源拥有者,通常是用户,即例子中拥有QQ/微信账号的用户;Authorization Server:认证服务器,可以提供身份认证和用户授权的服务器,即给客户端颁发token和校验token;
SpringSecurity登出实现
qq_58137891的博客
05-09 451
1.未登录状态,发出的请求会被拦截。2.已登录状态下,每次发送请求都会在请求头中携带token,然后将用户信息存入SecurityContextHolder中,这是仅只需要将userId从中取出,并通过userId输出存在redis中的User信息便完成。再次用相同的token访问请求时会显示用户未登录。
Spring Boot整合Spring Security(五)登出与未认证(授权)处理
时雨吹雪的博客
02-01 1159
Spring Security登出处理与访问拒绝处理
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6705
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
单点登录实现 Spring_security+CAS
01-20
通过以上步骤,你可以构建一个基于Spring Security和CAS的单点登录系统。这个过程需要对Spring Security和CAS有深入的理解,以及一定的Java Web开发经验。通过实践和学习,你将能熟练掌握这个技术,并应用于实际项目...
cas单点登出的3个类
10-09
Spring Security或者 CAS服务器的配置中,这类过滤器通常会被用来监听和处理HTTP的logout请求,识别并处理单点登出的信号。它会检查HTTP请求中的特定参数,如`logoutRequest`,如果发现则触发登出流程,清除本地...
cas 和spring security 单点登录 配置
07-03
配置CAS客户端支持单点登出,当用户在CAS服务器上登出时,所有客户端应用都会同步登出。 **四、注意事项** - CAS和Spring Security的版本兼容性问题需要关注,确保两者版本匹配。 - 安全的CAS配置应该包括SSL/TLS...
Spring+LDAP实现单点登录
07-12
6. **单点登出(Single Logout, SLO)**:与SSO相对应,SLO允许用户在一处登出后,所有关联应用同时失效用户会话。Spring Security同样支持SLO,可以通过实现特定的监听器和回调机制来实现会话的全局清除。 7. **...
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
4. **单点登出(Single Logout)**:当用户在任一应用中登出时,系统应能自动解除所有应用的登录状态,实现真正的SSO体验。 在提供的压缩包“spring oauth2 lib”中,可能包含了实现上述功能所需的jar包。这些jar包...
springboot2.7+springsecurity实现简单的登录登出
qq_31547897的博客
10-11 1331
springboot+springsecurity实现简单登录登出
基于SpringSecurityOAuth2实现单点登录, 简单示例用于学习SpringSecurityOAuth2. 解决了遇到的所有SpringSecurityOAuth2的坑
神尐破
09-11 1423
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。这是一个标准, spring也推荐也默认采用这种登录授权的模式, 所以跟着spring来,方向不会错。OAuth 的核心就是向第三方应用颁发令牌,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。OAuth 2.0 规定了四种获得令牌的流程:authorization code(授权码模式)implicit(简化模式)
SpringSecurityOAuth2(5)自定义登录登出
08-02 2245
GitHub地址 码云地址 登出自定义:登出相当于使token失效,我们只需要携带access_token 请求 ConsumerTokenServices(默认自带的注销接口)即可,请求后旧的token即不可用。 @DeleteMapping("/logout") public...
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践
Vermont_的博客
05-05 981
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践 理论知识 在此之前需要学习和了解一些前置知识包括: Spring Security:基于 Spring实现的 Web系统的认证和权限模块 OAuth2:一个关于授权(authorization)的开放网络标准 单点登录 (SSO):在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 JWT:在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安
springsecurity如何进行单点登出操作
04-27
Spring Security提供了单点登出的功能,可以通过以下步骤实现: 1. 配置LogoutFilter 在Spring Security配置文件中添加LogoutFilter,并设置logoutUrl参数为/logout,例如: ``` <security:logout logout-url="/logout" /> ``` 2. 配置SingleSignOutFilter 在Spring Security配置文件中添加SingleSignOutFilter,例如: ``` <bean id="singleSignOutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter"> <property name="casServerUrlPrefix" value="https://cas.example.com" /> </bean> ``` 3. 配置SessionRegistry 在Spring Security配置文件中配置SessionRegistry,例如: ``` <bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" /> ``` 4. 配置ConcurrentSessionFilter 在Spring Security配置文件中添加ConcurrentSessionFilter,并设置sessionRegistry属性为上一步中配置的SessionRegistry,例如: ``` <security:concurrent-session-control session-registry-alias="sessionRegistry" /> ``` 5. 配置LogoutHandler 在Spring Security配置文件中配置LogoutHandler,例如: ``` <bean id="logoutHandler" class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"> <property name="invalidateHttpSession" value="true" /> <property name="clearAuthentication" value="true" /> </bean> ``` 6. 配置LogoutSuccessHandler 在Spring Security配置文件中配置LogoutSuccessHandler,例如: ``` <bean id="logoutSuccessHandler" class="org.springframework.security.web.authentication.logout.SimpleUrlLogoutSuccessHandler"> <property name="defaultTargetUrl" value="/" /> </bean> ``` 7. 配置FilterChainProxy 在Spring Security配置文件中配置FilterChainProxy,例如: ``` <bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy"> <sec:filter-chain-map path-type="ant"> <sec:filter-chain pattern="/logout" filters="singleSignOutFilter,logoutFilter" /> <sec:filter-chain pattern="/**" filters="concurrencyFilter,securityFilterChain" /> </sec:filter-chain-map> </bean> ``` 以上步骤配置完成后,用户在访问/logout时会触发单点登出操作,即使用户在其他应用中也会被同时登出

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值