SSO核心原理:
1.子系统之间session不能实现共享,cookie在不同域名下时也不能共享的,为此我们需要一个相同的顶级域名(如:aaa.yanxiaohui.cn
,bbb.yanxiaohui.cn)
2.在用户登录操作完成的时候(即单点登录成功后)我们向顶级域名写入cookie
3.在访问这个顶级域名下的其他系统的时候我们只验证顶级域名下有没有指定的cookie存在,如果存在,校验其有效性,通过则放行,由此实
现单点登录操作,不存在则或失效则跳转至单点登录的登录页。
工程中实现方式:
一、SSO未登录
当SSO登录页登录成功,生成token,放入tokenMap(自定义存放token的集合)中,并重定向至backUrl,拼接参数SSO_TOKEN_NAME
(自定义的请求参数),其value就是token。重定向后,被SSO拦截(SSO过滤请求的处理机制)
此时判断子系统的session中是否有token
有:校验token
校验通过:放行请求
校验不通过拦截:重定向至SSO登录页
无:判断请求参数中是否有SSO_TOKEN_NAME
无:重定向至SSO登录页
有:从tokenMap中获取token的对象,并将其放入子系统请求的session中,再重定向至backUrl,并去掉请求参数
SSO_TOKEN_NAME
二、SSO已登录
被SSO拦截(SSO过滤请求的处理机制)
判断子系统的session中是否有token(此时cooike的域名和path都应该相同)
有:进行token是否有效的校验
校验通过:放行请求
校验不通过拦截:重定向至SSO登录页
无:判断请求参数中是否有SSO_TOKEN_NAME
无:从cookie中获取token,重定向到backurl,SSO拦截,重复1.2的操作
有:从tokenMap中获取token的对象,并将其放入子系统请求的session中,再重定向至backUrl,并去掉请求参数
SSO_TOKEN_NAME