如何实现系统的单点登录?

最新推荐文章于 2024-05-20 18:01:19 发布
最新推荐文章于 2024-05-20 18:01:19 发布
阅读量789 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: sso
本文链接:https://blog.csdn.net/yang237061644/article/details/107569819
版权

目录

1. 单点登录的流程是什么样的?

总体来说,一次单点登录过程包括了 3 次重定向过程。

第一次重定向,发现 Session 里未携带用户信息,拦截该未登录请求,重定向到 CAS Server;
第二次重定向,是登录成功重定向到初始访问接口(用户被拦截的接口),这步的重定向很关键,解决了单点登录的跨域问题;
第三次重定向,Session 携带用户信息去访问初始接口;

整个流程图如下:
在这里插入图片描述
思考以下几个问题以加深理解:

  1. 用户信息是哪个角色赋值在 Session 中的?

    CAS Server 将用户信息封装在 body 里,服务方读取该 body 数据并填充到 Session 中;

  2. 服务方是怎么验证 Ticket 的?

第一次登录后,后面登录就不需要验证了,流程图如下。
在这里插入图片描述
访问其他系统也不需要认证了,流程图如下。
在这里插入图片描述

2. 从代码层面剖析单点登录流程

  1. 准备工作:注册拦截资源

    @Component
public class AuthConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        AiforceProperties aiforceProperties = SpringContextHolder.getApplicationContext().getBean(AiforceProperties.class);
        registry.addInterceptor(new AuthHandlerInterceptor())
            .addPathPatterns("/**")
            .excludePathPatterns(getNoAuthUrls());// 拦截白名单
    }
}

  2. 从前端请求后端服务

    首先从前端调用后端的http://app.example.com/auth/user接口,这时会被拦截器拦截,下面是拦截器的实现。

    @Component
@Slf4j
public class AuthHandlerInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (isLogin(request)) {
            return true;
        }
        // 未登录则需要跳转到CAS Server进行登录
        request.getSession().setAttribute(Constants.RETURN_URL, "http://app.example.com/auth/user");
        response.sendRedirect("http://cas.example.com/cas/login?service=http://app.example.com/callback");// 【1】
        return false;
    }

    public boolean isLogin(HttpServletRequest request) {
        // 会话中用户信息为空则未登录
        if (request.getSession().getAttribute(Constants.USER_SESSION) == null) {
            return false;
        }
        return true;
    }
}

  3. 后端转发请求到单点登录服务器

    注意:这里的请求转发response.sendRedirect跟上面的重定向可以理解为一个意思。

    在请求单点登录服务器前,需要把注册一个回调地址http://app.example.com/callback,比如步骤1中代码【1】处。

    用户提交表单后,单点登录服务器会跳转至http://cas.example.com/cas/login?service=http://app.example.com/callbackservice 配置的值即http://app.example.com/callback,并携带ticket数据,可以放在http body里面。

  4. /callback接口怎么实现?

    @RequestMapping(value = "/callback")
public Result<String> callback(HttpServletRequest request, HttpServletResponse response) {
    // 请求单点登录服务器,校验ticket,返回用户信息
    UserInfo userInfo = iAuthService.validateTicket(request);
    // 将用户信息放到session里
    request.getSession().setAttribute(Constants.USER_SESSION, JSON.toJSONString(userInfo));
    // 转发请求至步骤1初始请求的地址
    response.sendRedirect("http://app.example.com/auth/user");
    return Result.ok();
}

  5. 重新请求请求后端服务

    这时再请求http://app.example.com/auth/user接口,步骤1中的isLogin()就返回true了。这样就完成了登录。

3. 跨域问题怎么解决?

比如现在有 2 个请求。

请求1:http://app1.example.com/auth/user
请求2:http://app2.example.com/auth/user

在这里插入图片描述

图片来源:https://blog.csdn.net/hezheqiang/article/details/82145125

可以通过在 SSO 域名下保存 Cookie 来解决跨域问题。

4. 如何实现会话超时?

/callback接口里添加逻辑,将用户信息缓存到redis中。

@RequestMapping(value = "/callback")
public Result<String> callback(HttpServletRequest request, HttpServletResponse response) {
    UserInfo userInfo = iAuthService.validateTicket(request);
    request.getSession().setAttribute(Constants.USER_SESSION, JSON.toJSONString(userInfo));
    // 新增的逻辑
    stringRedisTemplate.opsForValue().set(getTokenKey(), JSON.toJSONString(userInfo), 120, TimeUnit.SECONDS);
    response.sendRedirect("http://app.example.com/auth/user");
    return Result.ok();
}

接着在isLogin()方法里添加判断:redis中的TokenKey是否过期。

public boolean isLogin(HttpServletRequest request) {
    if (request.getSession().getAttribute(Constants.USER_SESSION) == null) {
        return false;
    }
    // 判断redis缓存中key是否失效
    if (stringRedisTemplate.opsForValue().get(getTokenKey()) == null) {
        return false;
    }
    return true;
}
杨同学technotes
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录系统怎么实现的,单点登录系统实现的原理
yuanaili的博客
07-24 1936
单点登录系统怎么实现单点登录系统就是指在一个系统登录,在与其相关联的系统就不用登录无非就是session共享的问题。 Session共享问题你们是如何解决的?   其实seesion的共享问题分为集群的session共享和分布式的session共享。他们的主要区别是,是多个系统还是单个系统。      如果是单个系统的那么就是集群的session共享,只要的解决方案有:    1.c...
单点登录(SSO)详解——超详细
qq_53895518的博客
03-20 1万+
此种实现方式比较简单,但不支持跨主域名。
系统的两种单点登录sso)的方式
w3x3g的博客
08-17 5092
系统的两种单点登录方式
什么是单点登录?如何实现
林恒的博客
05-20 988
确认无误后,应用系统记录用户的登录状态,并将 Token写入Cookie,然后给本次访问放行。当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源,为了减少频繁认证,各个子系统在被passport授权以后,会建立一个局部会话,在一定时间内可以无需再次向passport发起认证。用户统一在认证中心进行登录,登录成功后,认证中心记录用户的登录状态,并将 token 写入 Cookie(注意这个 Cookie是认证中心的,应用系统是访问不到的)
使用jwt技术实现系统间的单点登录
热门推荐
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
SSO单点登录系统实现
m0_48102416的博客
03-16 1427
文章目录单点登陆系统概述单点登陆系统解决方案设计工程结构设计SSO父工程创建及初始化创建父工程父工程pom文件初始配置系统基础服务工程设计及实现业务描述表结构设计工程数据初始化 单点登陆系统概述 单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互 单点登陆系统解决方案设计 解决方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库,例如: 说明,在这
SSO单点登录)多个系统之间如何实现账号互通
m0_60769905的博客
01-24 2651
背景传统 Session 机制及身份认证方案Cookie 与服务器的交互服务器端的 session 的机制基于 session 的身份认证流程集群环境下的 Session 困境及解决方案Session 共享方案多服务下的登陆困境及 SSO 方案SSO 的产生背景SSO 的底层原理 CAS最近开发新产品,然后老板说我们现在系统太多了,每次切换系统登录太麻烦了,能不能做个优化,同一账号互通掉。作为一个资深架构狮,老板的要求肯定要满足,安排!
基于springboot和redis实现单点登录
08-25
基于SpringBoot和Redis实现单点登录...基于SpringBoot和Redis实现单点登录可以提高用户体验、提高安全性和减少系统维护成本。本文详细介绍了如何使用SpringBoot和Redis实现单点登录,并提供了基于AES加密和解密的实现
使用springboot结合vue实现sso单点登录
08-25
单点登录SSO,Single Sign-On)是指在多个相关但独立的软件系统中,用户只需要登录一次,就可以访问所有相关系统的机制。使用 Spring Boot 和 Vue,我们可以轻松地实现 SSO 单点登录。 首先,我们需要创建一个 ...
单点登录系统完整版
01-06
这个完整的SSO系统包很可能包含以下步骤来实现单点登录: 1. **用户认证**:用户通过统一的登录界面输入凭证,系统验证其合法性。 2. **令牌生成**:验证成功后,系统生成一个安全的令牌,存储用户的认证信息。 3. ...
Android端实现单点登录的方法详解
01-05
前言 单点登录SSO(Single Sign On)说...实现单点登录说到底就是要解决如何产生和存储那个信任,再就是其他系统如何验证这个信任的有效性,因此要点也就以下两个:  存储信任  验证信任 如果一个系统做到了开头所
SpringBoot跨系统单点登陆的实现方法
08-25
SpringBoot 跨系统单点登录实现方法 单点登录(Single Sign-On,SSO)是一种访问控制属性,允许用户在多个系统中使用同一个身份验证来访问所有系统,而不需要在每个系统中都输入用户名和密码。SpringBoot 提供了...
什么是单点登陆系统SSO)?
weixin_58078203的博客
07-31 6506
什么是单点登录系统 单点登录的英文名叫做:Single Sign On(简称SSO)。 在初学/以前的时候,一般我们就单系统,所有的功能都在同一个系统上。 后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。 比如阿里系的淘宝和天猫,很明显地我们可以知道这是两个系统,但是你在使用的时候,登录了天猫,淘宝也会自动登录。 简单来说,单点登录就是在多个系统中,用户只需一次登录,各个系统即可感知该用户已经登录。 单点登录系统特点分析 HTTP协议是无状态的,Session不能依据HTTP连接
单点登录实现的几种方式及原理【单点登录
qq_30436011的博客
11-04 1538
单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。为什么需要做单点登录系统呢?在一些互联网公司中,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统
单点登录原理与简单实现
weixin_30851409的博客
11-29 8546
(2017-09-22更新)GitHub:https://github.com/sheefee/simple-sso 一、单系统登录机制 1、http无状态协议   web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系   但这...
实现单点登录的几种方式及原理
Isonion的博客
08-31 3524
单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。为什么需要做单点登录系统呢?在一些互联网公司中,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统
系统单点登录
jsq6681993的博客
05-15 2733
单点登录说明 单点登录的英文名叫做:Single Sign On(简称SSO)。一般应用于多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的保护资源。如登录访问 www.abc.com 后,对于www.efg.com 也是登录访问。 比如阿里系的淘宝和天猫,很明显地我们可以知道这是两个系统,但是你在使用的时候,登录了天猫,淘宝也会自动登录。 以下实现基于cookie等认证,对于cookie的原理不做详细说明,可以单独了解。 主域名相同: 如果公司内的所有业务都共享到 xxx.com 一个主
单点登录的三种实现方式
远古大猛犸
01-19 1万+
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞
什么是单点登录?如何实现单点登录
最新发布
07-07
实现单点登录通常通过以下步骤: 1. **身份提供商**:创建一个集中式的身份管理服务器,存储用户的账号信息,如用户名、密码、权限等。 2. **安全协议**:利用诸如OAuth、SAML(Security Assertion Markup Language...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值