单点登录:流程分析及实战(二)

已于 2023-07-06 11:21:10 修改
阅读量766 收藏 2
点赞数
分类专栏: SSO单点登录 文章标签: java spring boot SSO
于 2023-06-28 17:14:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengguofeng0328/article/details/131441022
版权

单点登录:流程分析及实战(二)

文章目录

同系列文章
单点登录:原理及概念(一)

单点登录:流程分析及实战(二)

一、基于认证中心跨域流程

如果是不同域的情况下,Cookie是不共享的,这里我们可以部署一个认证中心,用于专门处理登录请求的独立的 Web 服务

用户统一在认证中心进行登录,登录成功后,认证中心记录用户的登录状态,并将 token 写入 Cookie(注意这个 Cookie 是认证中心的,应用系统是访问不到的)

应用系统检查当前请求有没有 Token,如果没有,说明用户在当前系统中尚未登录,那么就将页面跳转至认证中心

由于这个操作会将认证中心的 Cookie 自动带过去,因此,认证中心能够根据 Cookie 知道用户是否已经登录过了

如果认证中心发现用户尚未登录,则返回登录页面,等待用户登录

如果发现用户已经登录过了,就不会让用户再次登录了,而是会跳转回目标 URL ,并在跳转前生成一个 Token,拼接在目标 URL 的后面,回传给目标应用系统

应用系统拿到 Token 之后,还需要向认证中心确认下 Token 的合法性,防止用户伪造。确认无误后,应用系统记录用户的登录状态,并将 Token 写入 Cookie,然后给本次访问放行。(注意这个 Cookie 是当前应用系统的)当用户再次访问当前应用系统时,就会自动带上这个 Token,应用系统验证 Token 发现用户已登录,于是就不会有认证中心什么事了。

二、实战

2.1、环境准备

修改本机host模拟跨域,两个客户端以及一个认证中心的域名

 127.0.0.1 www.mysso.com
 127.0.0.1 www.myclient1.com
 127.0.0.1 www.myclient2.com

2.2、SSO认证中心的职责

  • 统一登录页面和接口
  • 校验令牌是否有效
  • 校验是否登录
  • 统一退出接口销毁客户端的Session

2.3、SSO登录流程

登录流程:

登录流程

代码如下所示:

    @RequestMapping("/login")
    public String login(LoginParam loginParam, RedirectAttributes redirectAttributes,
                        HttpSession session, Model model) {
        User user = new User("admin", "123456");
        //Demo 项目此处模拟数据库账密校验
        if (!user.getUsername().equals(loginParam.getUsername()) || !user.getPassword().equals(loginParam.getPassword())) {
            model.addAttribute("msg", "账户或密码错误,请重新登录!");
            model.addAttribute("redirectUrl", loginParam.getRedirectUrl());
            return "login";
        }

        //登录成功
        //创建令牌
        String ssoToken = UUID.randomUUID().toString();
        //把令牌放到全局会话中
        session.setAttribute("ssoToken", ssoToken);
        //设置session失效时间-单位秒
        session.setMaxInactiveInterval(SSOConstantPool.expireTime);
        //将有效的令牌-放到redis容器中
        //key:token,value:用户信息
        redisService.set(SSOConstantPool.token_pool + ssoToken, user, SSOConstantPool.expireTime);

        //未携带重定向跳转地址-默认跳转到认证中心首页
        if (StringUtils.isEmpty(loginParam.getRedirectUrl())) {
            return "index";
        }

        // 携带令牌到客户端
        redirectAttributes.addAttribute("ssoToken", ssoToken);
        log.info("[ SSO登录 ] login success ssoToken:{} , sessionId:{}", ssoToken, session.getId());
        // 跳转到客户端
        return "redirect:" + loginParam.getRedirectUrl();
    }

2.4、客户端校验是否登录

流程图如下所示:

客户端

通过拦截器实现:

@Slf4j
public class WebInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
        log.info("[ WebInterceptor ] >> preHandle  requestUrl:{} ", request.getRequestURI());
        //判断是否有局部会话,存在直接返回无需再次访问认证中心
        HttpSession session = request.getSession();
        //session.removeAttribute("isLogin");
        Object isLogin = session.getAttribute("isLogin");
        if (isLogin != null && (Boolean) isLogin) {
            log.debug("[ WebInterceptor ] >> 已登录,有局部会话 requestUrl:{}", request.getRequestURI());
            return true;
        }
        //获取令牌ssoToken
        String token = SSOClientHelper.getSsoToken(request);

        //无令牌
        if (StringUtils.isEmpty(token)) {
            //请求SSO------>认证中心验证是否已经登录(是否存在全局会话)
            SSOClientHelper.checkLogin(request, response);
            return true;
        }

        //请求SSO------>有令牌-则请求认证中心校验令牌是否有效
        Boolean checkToken = SSOClientHelper.checkToken(token, session.getId());

        //令牌无效,可能过期,或者token被恶意篡改
        if (!checkToken) {
            log.debug("[ WebInterceptor ] >> 令牌无效,将跳转认证中心进行认证 requestUrl:{}, token:{}", request.getRequestURI(), token);
            //请求SSO------>认证中心验证是否已经登录(是否存在全局会话)
            SSOClientHelper.checkLogin(request, response);
            return true;
        }

        //token有效,创建局部会话设置登录状态,并放行
        session.setAttribute("isLogin", true);
        //设置session失效时间-单位秒
        session.setMaxInactiveInterval(1800);
        //设置本域cookie
        CookieUtil.setCookie(response, SSOClientHelper.SSOProperty.TOKEN_NAME, token, 1800);
        log.debug("[ WebInterceptor ] >> 令牌有效,创建局部会话成功 requestUrl:{}, token:{}", request.getRequestURI(), token);
        return true;
    }

}

2.5、SSO校验令牌是否有效

@ResponseBody
    @RequestMapping("/checkToken")
    public String verify(String ssoToken, String loginOutUrl, String jsessionid) {
        // 判断token是否存在redis容器中,如果存在则代表合法
        User user = (User) redisService.get(SSOConstantPool.token_pool + ssoToken);
        boolean isVerify = user != null;
        if (!isVerify) {
            log.info("[ SSO-令牌校验 ] checkToken 令牌已失效 ssoToken:{}", ssoToken);
            return "false";
        }

        //把客户端的登出地址记录起来,后面注销的时候需要根据使用,存储在redis中
        List<Object> clientInfoList = redisService.lRange(SSOConstantPool.client_register_pool + ssoToken, 0, -1);
        boolean flag = clientInfoList.stream().anyMatch(x -> {
            ClientRegisterModel clientRegisterModel = (ClientRegisterModel) x;
            return clientRegisterModel.getJsessionid().equals(jsessionid);
        });
        if (!flag) {
            ClientRegisterModel vo = new ClientRegisterModel();
            vo.setLoginOutUrl(loginOutUrl);
            vo.setJsessionid(jsessionid);
            //redis List数据结构,push进去,并刷新过期时间
            redisService.lPush(SSOConstantPool.client_register_pool + ssoToken, vo, SSOConstantPool.expireTime);
        }
        //刷新令牌过期时间
        redisService.expire(SSOConstantPool.token_pool + ssoToken, SSOConstantPool.expireTime);
        log.info("[ SSO-令牌校验 ] checkToken success ssoToken:{} , clientInfoList:{}", ssoToken, clientInfoList);
        return "true";
    }

2.6、SSO校验是否登录

@RequestMapping("/checkLogin")
    public String checkLogin(String redirectUrl, RedirectAttributes redirectAttributes,
                             Model model, HttpServletRequest request) {
        //从认证中心-session中判断是否已经登录过(判断是否有全局会话)
        Object ssoToken = request.getSession().getAttribute("ssoToken");

        // ssoToken为空 - 没有全局回话
        if (StringUtils.isEmpty(ssoToken)) {
            log.info("[ SSO-登录校验 ] checkLogin fail 没有全局回话 ssoToken:{}", ssoToken);
            //登录成功需要跳转的地址继续传递
            model.addAttribute("redirectUrl", redirectUrl);
            //跳转到统一登录页面
            return "login";
        }

        log.info("[ SSO-登录校验 ] checkLogin success 有全局回话  ssoToken:{}", ssoToken);
        //重定向参数拼接(将会在url中拼接)
        redirectAttributes.addAttribute("ssoToken", ssoToken);
        //重定向到目标系统,后续会再次进入客户端的拦截器刷新局部令牌等
        return "redirect:" + redirectUrl;
    }

2.7、SSO退出接口

SSO退出接口较为简单,只是清除SSO中的全局会话。

具体的销毁工作是通过session的监听器来实现的。

流程如下:

在这里插入图片描述

    /**
     * 统一注销
     * 1.注销全局会话
     * 2.通过监听全局会话session时效性,向已经注册的所有子系统发起注销请求
     */
    @RequestMapping("/logOut")
    public String logOut(HttpServletRequest request) {
        HttpSession session = request.getSession();
        log.info("[ SSO-统一退出 ] ....start.... sessionId:{}", session.getId());
        //注销全局会话, SSOSessionListener 监听器会处理后续操作
        request.getSession().invalidate();
        log.info("[ SSO-统一退出 ] ....end.... sessionId:{}", session.getId());
        return "logout";
    }

2.8、销毁Session的监听器

实现HttpSessionListener接口,servlet销毁session的时候会执行所有的监听器。

@Override
    public void sessionDestroyed(HttpSessionEvent se) {
        //获取操作redis的单例
        RedisService redisService = SpringContextUtils.getBean(RedisServiceImpl.class);
        HttpSession session = se.getSession();
        String token = (String) session.getAttribute("ssoToken");
        log.debug("[ SSOSessionListener ] ...start..... sessionId:{},token:{}", session.getId(), token);
        //注销全局会话,SSOSessionListener监听类删除对应的信息
        session.invalidate();
        if (StringUtils.isEmpty(token)) {
            log.debug("[ SSOSessionListener ] token is null sessionId:{}", session.getId());
            return;
        }
        //清除存储的有效token数据
        redisService.del(SSOConstantPool.token_pool + token);
        //清除并返回已经注册的系统信息,调用客户端退出接口
        List<Object> list = redisService.lRange(SSOConstantPool.client_register_pool + token, 0, -1);
        if (CollectionUtils.isEmpty(list)) {
            return;
        }
		//循环调用
        for (Object object : list) {
            if (null == object) {
                continue;
            }
            ClientRegisterModel client = (ClientRegisterModel) object;
            //取出注册的子系统,依次调用子系统的登出方法(通过会话ID退出子系统的局部会话)
            sendHttpRequest(client.getLoginOutUrl(), client.getJsessionid());
            log.info("[ SSOSessionListener ] 注销系统 url:{},Jsessionid:{}", client.getLoginOutUrl(), client.getJsessionid());
        }
        redisService.del(SSOConstantPool.client_register_pool + token);
        log.debug("[ SSOSessionListener ] ...end..... sessionId:{},token:{}", session.getId(), token);
    }

sendHttpRequest方法调用:

    /**
     * 发送退出登录请求
     * 模拟浏览器访问形式
     *
     * @param reqUrl     发送请求的地址
     * @param jesssionId 会话Id
     */
    private static void sendHttpRequest(String reqUrl, String jesssionId) {
        try {
            //建立URL连接对象
            URL url = new URL(reqUrl);
            //创建连接
            HttpURLConnection conn = (HttpURLConnection) url.openConnection();
            //设置请求的方式(需要是大写的)
            conn.setRequestMethod("POST");
            //设置需要响应结果
            conn.setDoOutput(true);
            //通过设置JSESSIONID模拟浏览器端操作
            conn.addRequestProperty("Cookie", "JSESSIONID=" + jesssionId);
            //发送请求到服务器
            conn.connect();
            conn.getInputStream();
            conn.disconnect();
        } catch (Exception e) {
            log.error("[ sendHttpRequest ] exception >> reqUrl:{}", reqUrl, e);
        }
    }

2.9、客户端退出登录接口

    @RequestMapping("/logOut")
    protected void logOut(HttpServletRequest request, HttpServletResponse response) {
        HttpSession session = request.getSession();
        log.info("[ logOut ] sessionId:{}", session.getId());
        //清空客户端的局部会话
        session.invalidate();
    }

三、测试实现

依次访问如下地址

www.myclient1.com:8082
www.myclient2.com:8083

1、访问之后会自动重定向到SSO的统一认证,且后面带着客户端的访问地址

在这里插入图片描述

2、客户端一登录之后,刷新客户端二的页面,发现已经自动登录。

在这里插入图片描述

观察redis保存的token以及客户端页面的sessioncookie

在这里插入图片描述

在这里插入图片描述

3、任意客户端退出,刷新另一个客户端的页面都会重定向到登录页面。

测试成功!!!

当然生成环境中记得各种令牌以及系统之间调用进行映射以及加密使用。

参考:
https://xqiangme.blog.csdn.net/article/details/113695587

炸了毛的猫
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录(SSO)详解——超详细
qq_53895518的博客
03-20 1万+
此种实现方式比较简单,但不支持跨主域名。
单点登录详解
dfc_dfc的博客
01-29 942
单点登录详解
2024年前端最全实战单点登录的两种实现方式,附源码_前端单点登录,阿里前端p7面试
最新发布
2401_84617533的博客
05-13 661
由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】java复制代码/*** title:跳转 ServiceB* * 1. 前端点击Jump链接触发此接口调用* 2. 此接口生成ticket并携带着请求 ServiceB* 2.1 ServiceB拿着ticket请求我方服务获取用户信息。
单点登录的实现流程
weixin_69776547的博客
08-29 2725
单点登录的具体实现
单点登录SSO认证中心】
weixin_43628257的博客
03-17 1413
(2017-09-22更新)GitHub:https://github.com/sheefee/simple-sso。
统一身份认证账号管理及集成
cyt2251的博客
06-20 1588
原文AD系统CRM系统 LDAP权限分层,认识并理解用户访问权限的层级是认证体系建设的关键之一。存量系统:账号映射应用中存在的问题:授权和委托:用户登录的逻辑:多系统登录的问题和解决解决方案:cookie跨域问题CAS (Central Authentication Service)重定向到sso认证中心,并将自己的地址作为参数双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。目前常用的双因子认证有:总结:目前我们系统制裁风险智能管控平台和很多
【SSO】单点登录方案
weixin_38085783的博客
06-25 463
当用户发起支付时(③),支付系统会请求Session进行认证(④),Session认证成功后返回认证信息给支付系统(⑤),支付系统完成支付并返回支付信息给商品系统(⑥),从而完成整个购买支付流程。(1)用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数;(4)sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌;(11)sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌;(9)用户访问系统2的受保护资源;
SSO单点登录原理详解
Yilong18的博客
12-06 3055
sso单点登录
SSO单点登录快速入门及实战项目(2.80G)
04-11
06.单点登录流程分析.avi 07.单点登录Cookie和Session存储图解.avi 08.单点登录代码实现(一).avi 09.单点登录代码实现(二).avi 10.单点登录代码实现(三).avi 11.单点登录流程梳理.avi 12.单点注销的流程分析.avi...
SSO分布式系统单点登陆入门到基础到原理实战
04-01
### SSO分布式系统单点登录入门到基础到原理实战 #### 一、SSO(Single Sign-On)概念 SSO,即单点登录(Single Sign-On),是一种基于Web的应用程序认证处理方法。用户只需进行一次身份验证即可访问多个应用系统。...
单点登录源码
01-09
单点登录, SSM框架公共模块 ├── zheng-admin -- 后台管理模板 ├── zheng-ui -- 前台thymeleaf模板[端口:1000] ├── zheng-config -- 配置中心[端口:1001] ├── zheng-upms -- 用户权限管理系统 | ├── ...
单点登录流程
12-06
单点登录设计,详细流程图。没有跨域名,使用二级域名共享机制实现
单点登录(SSO)和中心认证服务(CAS)
07-30
单点登录(SSO)和中心认证服务(CAS)
单点登录SpringSsession
04-02
### 单点登录与Spring Session #### 一、引言 在现代的互联网应用中,单点登录(Single Sign-On,简称SSO)已经成为一种非常常见的用户认证方式。它允许用户一次登录后,在多个相关但独立的应用系统之间自由切换而...
单点登录:统一登录与退出
天然玩家的博客
03-21 2331
1 背景 公司系统众多,如经销商管理系统(DMS)、权限管理系统(PMS)、内容管理系统(CMS)、及BI系统等,每个系统拥有独立的用户认证流程,同一用户使用不同系统时均需要在各自系统中完成登入或登出。系统与系统之间进行跳转时,是跳转到对应系统的登录页,重新登录,而不是依据已认证的用户直接进入目标系统。 2 多系统独立用户认证 系统与系统之间用户认证体系相互独立,无法进行统一授权与管理,系统与系统之间的跳转只是页面的跳转,主要弊端如下: (1)降低用户工作效率。多系统重复登录,账密不同,需要记住多个账密,
生成一篇博客,详细讲解springboot的单点登录功能,有流程图,有源码demo
极客栈
10-28 1121
在上述配置中,我们通过配置RemoteTokenServices实现了认证服务器和客户端之间的信任关系,通过配置OAuth2ClientContextFilter实现了客户端的过滤器,通过配置AuthorizationCodeResourceDetails和ResourceServerProperties实现了客户端的认证和授权规则,通过配置OAuth2RestTemplate实现了客户端的令牌获取和使用。我们需要在SpringBoot中配置一个客户端,并指定其接入认证服务器的方式、令牌获取规则等。
SSO单点登录流程说明
soldierluo的专栏
11-21 1723
SSO 登入流程说明   1          访问web-1,验证token,不通过,跳转SSO验证 2          访问SSO,验证token,不通过,跳转SSO登录界面 3          SSO登录,验证用户名密码,通过,则写token到cookie,并跳转web-1(url携带SSO的token) 4          访问web-1 4.1         web-
vue 通过单点登录进入项目首页
贵林之恋的博客
01-05 4507
最近做的项目是通过单点登录入口进入自己的项目首页,大概总结一下思路: 1.跟main.js 同级新建一个permission.js(文件名称随意),然后在main.js 文件中导入: permission.js : import router from './router' import store from './store' import Cookies from 'js-cookie' import { Message, MessageBox } from 'eleme
单点登录(SSO)原理及实现
热门推荐
哈哈哈哈哈哈哈
05-05 1万+
一、前言 本篇文章简单介绍了一下SSO的概念及原理,然后使用SpringBoot+Redis实现了一个简单的SSO系统。系统使用ticket的形式,依靠cookie携带ticket向sso服务器进行验证,验证通过后允许访问请求地址。 项目地址: 二、SSO介绍 SSO(Single Sign On),单点登录,简单来说就是在一个具有多个子系统的系统中,只用登录一个子系统,然后访问其他子系统时不需...
Google Analytics与GTM实战指南:数据分析与产品优化
旨在帮助数据分析人员、网站管理员、市场营销者、数字营销专家、用户研究员、产品经理以及对数据运营感兴趣的人员掌握这两个工具的实战技巧。作者根据自己丰富的实践经验,详细讲解了Google Analytics的基础知识、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值