开源OAuth2框架 实现SSO单点登录

最新推荐文章于 2024-08-12 09:03:31 发布
最新推荐文章于 2024-08-12 09:03:31 发布
阅读量3.4k 收藏 9
点赞数 1
分类专栏: 架构 文章标签: sso spring oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z2926781/article/details/109022473
版权

一、 概述

本文使用Oauth2开源架构(tkey)、实现单点登录系统。

1. Tkey:

  • OAuth 2.0 标准为接口设计原则的单点登录系统(SSO);
  • 纯粹的 HTTP,任意设备、任意场景;
  • 跨域无状态,随意横向扩展,服务高可用。

2. 选择Tkey

tkey为开源框架,使用方便,易于扩展,完成度高,文档详细。

本文在原有架构基础上,增加了服务端持久层、增加client管理、增加登录页账套查询、优化登录页面、实现客户端跳转。

更多功能请参考原架构

3. Tkey下载地址:

本文代码地址,详见文末。

二、实现单点登录服务端

1)使用架构

  1. springboot 2.1
  2. mybatisPlus  (mysql)
  3. tkey (oauth2)
  4. swagger
  5. redis
  6. thymeleaf(登录页)

2)代码参考如下

以下着重介绍修改部分:

  • 增加持久层 mybatis
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
@EnableTransactionManagement
@Configuration
public class MybatisPlusConfig {

    /**
     * 分页插件
     */
    @Bean
    public PaginationInterceptor paginationInterceptor() {
        return new PaginationInterceptor();
    }
}
  • ClientController.java
@Slf4j
@RestController
@RequestMapping("/client")
public class ClientController {
	@Autowired
	private StringRedisService<String, String> clientRedisService;

	@Autowired
	private OauthClientService oauthClientService;

	@PostMapping("/save")
	public ResponseEntity<?> save(@RequestBody @Valid OauthClientCreateRequestParam param) {
		OauthClientToRedisBO oauthClientToRedisBO = new OauthClientToRedisBO();
		BeanUtils.copyProperties(param, oauthClientToRedisBO);
		clientRedisService.set(GlobalVariable.REDIS_CLIENT_ID_KEY_PREFIX + oauthClientToRedisBO.getClientId(), JsonUtil.toJson(oauthClientToRedisBO));
		return R.success(oauthClientToRedisBO);
	}

	@GetMapping("/query")
	private ResponseEntity<?> query(@RequestParam String clientId) {
		return R.success(oauthClientService.findByClientId(clientId));
	}

	@GetMapping("/delete")
	private ResponseEntity<?> delete(@RequestParam String clientId) {
		String clientIdRedisKey = GlobalVariable.REDIS_CLIENT_ID_KEY_PREFIX + clientId;
		clientRedisService.delete(clientIdRedisKey);
		return R.success();
	}
}
  • 登录初始化

  • 登录校验

  • 登录页面
<div class="login-wrapper">

    <div class="content-left">

    </div>
    <div class="content-right">
        <div class="right-header">
            <h1 class="right-header-h2" th:text="${oauthClient != null and oauthClient.clientName != null ? oauthClient.clientName : '登录'}"></h1>
        </div>
        <div class="right-form-wrapper">
            <form onclick="this.disabled=false" onsubmit="return handleSubmit()" method="POST" action="/oauth/authorize" th:action="${#request.getQueryString() != null ? #request.getRequestURL() + '?' + #request.getQueryString() : #request.getRequestURL()}">
                <div class="username-wrapper">
                    <input onfocus="usernameInputFocus()" class="username username-input-default" type="text" name="username" id="username" value="admin" th:value="admin" placeholder="手机 / 邮箱">
                    <p class="username-error opacity0" th:text="${errorMsg}"></p>
                </div>

                <div class="password-wrapper">
                    <input onfocus="passwordInputFocus()" class="password password-input-default" type="password" name="password" id="password" value="123456" th:value="123456" placeholder="请输入密码">
                    <p class="password-error opacity0">密码为必填项</p>
                </div>
                <div class="form-group">
                    <select class="username username-input-default" name="sob" id="sob">
                        <option th:each="ss:${sobs}" th:value="${ss.id}" th:text="${ss.sobName}"></option>
                    </select>
                </div>
                <div class="checkMe">
                    <span>
                        <input type="checkbox" value="false" name="bool_is_remember_me" id="bool_is_remember_me">
                        <label for="bool_is_remember_me" class="ml5">记住我</label>
                    </span>
                    <a class="text-login">忘记密码?</a>
                </div>

                <div class="submit-btn-wrapper">
                    <img class="btn-loading" th:src="@{/images/loading.svg}" alt="">
                    <button type="submit" onclick="handleSubmit()" class="submit-btn">登录</button>
                </div>
                <div class="mt15 tac">
                    <span class="right-header-span">没有账号? <a>点此注册</a></span>
                </div>
            </form>
        </div>
    </div>
</div>

 

三、实现客户端

  • pom.xml
        <!-- sso -->
        <dependency>
            <groupId>com.cdk8s.tkey</groupId>
            <artifactId>tkey-sso-client-starter-rest</artifactId>
            <version>1.0.0</version>
        </dependency>
  • 自定义拦截器
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Bean
    public LoginInterceptor loginInterceptor() {
        return new LoginInterceptor();
    }


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/error", "/logoutSuccess", "login/**","/logout/**","/codeCallback/**","/css/**", "/js/**", "/fonts/**")
                .excludePathPatterns("/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**");
    }
}

@Slf4j
public class LoginInterceptor extends HandlerInterceptorAdapter {

    @Value("${front_url}")
    private String front_url;

    @Autowired
    private TkeyProperties tkeyProperties;

    //=====================================业务处理 start=====================================
    private boolean resp(final HttpServletRequest request, final HttpServletResponse response) throws IOException {
        if (tkeyProperties.getEnableCodeCallbackToFront()) {
            responseJson(response);
        } else {
            response.sendRedirect(getRedirectUrl(request));
        }
        return false;
    }

    @SneakyThrows
    @Override
    public boolean preHandle(final HttpServletRequest request, final HttpServletResponse response, Object handler) {

        String accessToken = CookieUtil.getValue(request, AuthVariable.SSO_SESSIONID);
        if (StringUtils.isBlank(accessToken)) {
            log.error("【SSO】Local token is null, to login...");
            return resp(request, response);
        }
        // 本机不校验
        String local_url = InetAddress.getLocalHost().getHostAddress();
        if (request.getRemoteAddr().contains(local_url)) {
            log.info("【SSO】Local to pass...");
            return true;
        }
        String token = request.getHeader(AuthVariable.HEADER_TOKEN_KEY);
        if (StringUtils.isBlank(token) || !token.equals(accessToken)) {
            response.sendRedirect(front_url + accessToken);
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {
    }


    private String getRedirectUrl(final HttpServletRequest request) {
        return tkeyProperties.getFinalRedirectUri(request);
    }

    @SneakyThrows
    private void responseJson(final HttpServletResponse response) {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        Map<String, Object> responseMap = new HashMap<>(4);
        responseMap.put("isSuccess", false);
        responseMap.put("msg", "您还未登录,请先登录");
        responseMap.put("timestamp", Instant.now().toEpochMilli());
        responseMap.put("code", "0");
        ObjectMapper mapper = new ObjectMapper();
        String json = mapper.writeValueAsString(responseMap);
        PrintWriter out = response.getWriter();
        out.print(json);
    }

}

  • 鉴权回调controller

   /**
     * 接收 code,然后换取 token
     */
    @SneakyThrows
    @RequestMapping(value = "/codeCallback", method = RequestMethod.GET)
    public void codeCallback(final HttpServletRequest request, final HttpServletResponse response, @RequestParam(value = "redirect_uri", required = true) String redirectUri) {
        String code = request.getParameter("code");

        if (StringUtils.isBlank(code)) {
            return;
        }

        getAccessToken(request, response, code);
        // 重定向到原请求地址
        redirectUri = CodecUtil.decodeURL(redirectUri);
		response.sendRedirect(redirectUri);
    }

    @RequestMapping(value = "/logout", method = RequestMethod.GET)
    public String logout(final HttpServletRequest request, final HttpServletResponse response) {
        String finalLogoutUri = tkeyProperties.getFinalLogoutUri();
        CookieUtil.remove(request, response, AuthVariable.SSO_SESSIONID);
        return "redirect:" + finalLogoutUri;
    }


    private TkeyToken getAccessToken(HttpServletRequest request, HttpServletResponse response, String code) {
        OAuth2AccessToken oauthToken = tkeyService.getAccessToken(code);
        String accessToken = oauthToken.getAccessToken();

        TkeyToken tkeyToken = new TkeyToken();
        tkeyToken.setAccessToken(accessToken);
        tkeyToken.setRefreshToken(oauthToken.getRefreshToken());
        OauthUserProfile user = tkeyService.getUserProfile(oauthToken);
        tkeyToken.setAttributes(user);

        CookieUtil.set(response, AuthVariable.SSO_SESSIONID, accessToken, false);
        return tkeyToken;
    }

  • 首页controller(支持前后端分离)

    @RequestMapping("/")
    public String index(HttpServletRequest request, Model model) {
        String accessToken = CookieUtil.getValue(request, AuthVariable.SSO_SESSIONID);
        if (front_flag) {
            return "redirect:" + front_url + accessToken;
        } else {
            model.addAttribute("token", accessToken);
            return "index";
        }
    }

四、启动程序

1. 启动redis;

2. 启动mysql:创建数据库,运行脚本。

注:脚本参考文末代码

3. 启动程序. ServerApp、2.ClientApp

客户端port:8081

服务端port:8086

4. 插入client:

调用接口如图:

报文如下:

{
        "id": 1001,
        "client_name": "client_id_sso_client",
        "client_id": "client_id_sso_client",
        "client_secret": "client_secret_sso_client",
        "client_url": "^(http|https)://.*",
        "client_desc": "Client系统"
}

5. 调用客户端

在浏览器地址栏输入:http://127.0.0.1:8081/client

统一跳转到鉴权服务器,如图

注:账套为本文自定义信息,可酌情删除。

用户名:admin   、密码:123456

登录成功:

以上,登录成功。

注:如果使用前后端分离系统,请在配置中增加前端首页地址

登录成功后,将token返回前端即可。

 


本文源码地址:

https://gitee.com/zetor2020/ym-paas-sso-tkey.git 

下载代码的朋友点下star,多谢支持

点赞本文,再次感谢

 

zetor_major
关注
专栏目录
OAuth2.0实现单点登录
GSON的博客
06-11 4618
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
总的来说,实现Spring Security、Spring OAuth2和Spring MVC的SSO单点登录系统,需要对这些框架有深入理解,并正确配置相应的jar包或Maven/Gradle依赖。通过这个最小化集合,开发者可以快速搭建SSO环境,然后根据...
推荐开源项目:Spring Oauth SSO CAS - 现代化身份验证与授权解决方案
gitblog_00013的博客
04-05 425
推荐开源项目:Spring Oauth SSO CAS - 现代化身份验证与授权解决方案 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在数字化转型的时代,安全的身份认证和授权机制是任何Web应用的基础。 是一个基于Spring Security OAuth2和CAS(Central Authentication Service)构建的单点登录(Single Sign...
推荐开源项目:CJS-OAuth2-SSO-Demo——简单易用的身份验证与单点登录解决方案
gitblog_00012的博客
04-19 352
推荐开源项目:CJS-OAuth2-SSO-Demo——简单易用的身份验证与单点登录解决方案 去发现同类优质开源项目:https://gitcode.com/ 该项目,,是由开发者 Cheng JianSheng 创建的一个基于 OAuth2 协议和 SSO(Single Sign-On)原理的示例应用。它旨在帮助开发者快速理解并实现OAuth2授权流程和单点登录功能,特别适合于那些在开发过程中需...
Authelia:开源的双因素认证和单点登录解决方案
最新发布
gitblog_00515的博客
08-12 521
Authelia:开源的双因素认证和单点登录解决方案 autheliaThe Single Sign-On Multi-Factor portal for web apps项目地址:https://gitcode.com/gh_mirrors/au/authelia 在当今数字化时代,安全性是每个IT系统不可或缺的一部分。Authelia 是一个强大的开源认证和授权服务器,它通过一个直观的Web...
OAuth2实现单点登录SSO
weixin_34226182的博客
03-21 3396
1. 前言技术这东西吧,看别人写的好像很简单似的,到自己去写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让人抓狂,尤其是对于我这样的菜鸟。几经曲折,终于搞定了,决定记录下来,以便后续查看。先来看一下效果2. 准备2.1. 单点登录最常见的例子是,我们打开淘宝APP,首页就会有天猫、聚划算等服务的链接,当你点击以后...
OAuth2 通用组件升级篇(开源,又见开源 - 新增支持淘宝登陆)
weixin_34144450的博客
12-11 221
前言: 最近忙碌了几件事: 1:QBlog v3系列单用户版升级了:主要是园子里的地平线同学反馈了些问题,所以顺道修正和优化一起折腾:下载地址:http://www.cyqdata.com/download/article-detail-427 地平线同学的刚弄上的博客:http://www.tanyucheng.cn 2:帮一园子友人折腾优化Http代理工具,并支持Https访问,这项成...
使用OAuth2实现单点登录
make_progress的博客
04-02 2099
要想自己定制,需要把OAuth2协议和SSO思想策略弄通才行。我使用OAuth2的密码模式实现了简单的SSO,我使用oauthserver作为授权服务器,使用oauthresource作为客户端。可以根据情况使用@EnableOAuth2Sso注解使用授权码模式(更安全)登录。oauthserver上实现继承了AuthorizationServerConfigurerAdapter和WebSecurityConfigurerAdapter的类;
OAuth2单点登录实现
lixiang987654321的专栏
08-02 2634
OAuth2客户端注解 一、介绍 1、相关概念 首先,要说明使用之前,我们来了解一下oauth2提供的几个注解相关功能: @EnableOAuth2Client 客户端,提供OAuth2RestTemplate,用于客户端访问资源服务。 简要步骤:客户端访问资源->客户端发现没有资源访问token->客户端根据授权类型生成跳转url->浏览器 302 到认证授权服务进行认证、授权。 @EnableOAuth2Sso 应用系统,使用远端认证授权服务,替换应用自身的用户登录鉴权securit
关于SSO单点登录的简单实现
08-03
SSO(Single Sign-On)单点登录...总之,SSO单点登录为用户提供了便捷的访问体验,同时降低了管理多系统登录的复杂性。通过理解其原理和实现方式,我们可以根据具体需求选择合适的技术方案,构建高效且安全的SSO系统。
PHPBB OAuth认证集成教程:实现SSO单点登录
"这篇教程介绍了如何为PHPBB论坛添加OAuth2认证方式,实现单点登录(SSO)。作者提供了详细的操作步骤,包括修改PHPBB的配置文件和数据库,以及处理可能遇到的错误。" 在现代互联网应用中,单点登录(Single Sign-On,...
HiAuth:HiAuth是一个开源的基于Oauth2协议的认证,授权系统
03-11
HiAuth 介绍 HiAuth是一个开源的基于Oauth2协议的认证,授权系统,除标准的Oauth2授权流程功能外,还提供了应用管理,用户管理,权限管理。 参考HiMall项目,你可以快速的启动一个微服务项目的框架搭建,亦可以在这里找到一些技术的最佳实践,为你的项目开发提供参考。 。 如果你觉得此项目绩效,请给我点个star,谢谢! 项目地址: : 目录结构 ├─doc 文档目录,架构设计、数据库设计... ├─hi-auth-front HiAuth项目的前端代码 ├─hi-auth-web HiAuth项目的后端代码 ├─hi-mall HiMall项目,一个集成HiAuth认证、授权的Demo项目(基于Springboot的微服务) 功能 这个项目可以帮你实现基于Oauth2协议的统一认
开源的.NET单点登录项目
08-17
开源的.NET单点登录项目 下载的,共享给大家 DotNetOpenAuth-3.4.7.11121.zip
开源的分布式单点登录框架
03-13
这是一个分布式单点登录框架。只需要登录一次就可以访问所有相互信任的应用系统。 拥有"轻量级、分布式、跨域、Cookie+Token均支持、Web+APP均支持"等特性。现已开放源代码,开箱即用。
百度地图开发java源码-zx-security:SpringSecurity/Social框架实现了社交登录/OAuth2协议/单点登录/动
06-06
基于JWT实现单点登录 Dynamic.md:实现了完全动态的权限控制系统.以及spring security框架的大致源码解析. WebFlux.md: Spring Boot 2.0 + 版本特性 WebFlux异步响应式框架入门 总结 该项目实现了许多东西. 基于...
使用OAuth协议实现SSO单点登录
## 1.2 SSO单点登录的概念 SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户只需一次登录即可在多个关联应用中访问受保护的资源。通过实现SSO,用户可以方便地进行跨应用无缝访问,并且不需要重新输入...
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1438
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
OAuth认证实现机制及单点登录原理
weixin_30619101的博客
03-31 322
OAuth认证是为了做到第三方应用在未获取到用户敏感信息(如:账号密码、用户PIN等)的情况下,能让用户授权予他来访问开放平台(主要访问平台中的资源服务器Resource Server)中的资源接口 其流程主要是: 用户首先要保持登录,即已认证通过的状态 第三方应用请求用户授权(我理解是弹出一个显示的操作界面让用户确认给第三方授权) 用户授权成功之后会向Authorization Se...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值