全国咨询/投诉热线:400-618-4000

单点登录的实现

更新时间:2019年01月10日14时54分 来源:传智播客 浏览次数:

  什么是单点登录:

  Single Sign On,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

  1 单点登录的流程

  用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数

  sso认证中心发现用户未登录,将用户引导至登录页面

  用户输入用户名密码提交登录申请

  sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌

  sso认证中心带着令牌跳转会最初的请求地址(系统1)

  系统1拿到令牌,去sso认证中心校验令牌是否有效

  sso认证中心校验令牌,返回有效,注册系统1

  系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源

  用户访问系统2的受保护资源

  系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数

  sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌

  系统2拿到令牌,去sso认证中心校验令牌是否有效

  sso认证中心校验令牌,返回有效,注册系统2

  系统2使用该令牌创建与用户的局部会话,返回受保护资源

  用户登录成功之后,会与sso认证中心及各个子系统建立会话,

  用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,

  局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,

  全局会话与局部会话有如下约束关系。

  局部会话存在,全局会话一定存在。

  全局会话存在,局部会话不一定存在。

  全局会话销毁,局部会话必须销毁。

  2 单点注销:

  用户向系统1发起注销请求

  系统1根据用户与系统1建立的会话id拿到令牌,向sso认证中心发起注销请求

  sso认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址

  sso认证中心向所有注册系统发起注销请求

  各注册系统接收sso认证中心的注销请求,销毁局部会话

  sso认证中心引导用户至登录页面,注销成功

  3 单点登录的实现:

  sso采用客户端/服务端架构,我们先看sso-client与sso-server要实现的功能(下面:sso认证中心=sso-server)

  1 sso-client:

  拦截子系统未登录用户请求,跳转至sso认证中心

  接收并存储sso认证中心发送的令牌

  与sso-server通信,校验令牌的有效性

  建立局部会话

  拦截用户注销请求,向sso认证中心发送注销请求

  接收sso认证中心发出的注销请求,销毁局部会话

  2 sso-server:

  验证用户的登录信息

  创建全局会话

  创建授权令牌

  与sso-client通信发送令牌

  校验sso-client令牌有效性

  系统注册

  接收sso-client注销请求,注销所有会话

  1 在子系统中使用filter拦截请求,在sso-client中新建LoginFilter.java类并实现Filter接口,在doFilter()方法中加入对未登录用户的拦截

      
[Java] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
      HttpServletRequest req = (HttpServletRequest) request;
      HttpServletResponse res = (HttpServletResponse) response;
      HttpSession session = req.getSession();
      if (session.getAttribute("isLogin")) { public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,         ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        HttpSession session = req.getSession();
        if (session.getAttribute("isLogin")) {
        chain.doFilter(request, response);
            return;
        }
      //跳转至sso认证中心
      res.sendRedirect("sso-server-url-with-system-url");
      }
          chain.doFilter(request, response);
          return;
      }
      //跳转至sso认证中心
      res.sendRedirect("sso-server-url-with-system-url");
      }

     2、sso-server拦截未登录请求

  拦截从sso-client跳转至sso认证中心的未登录请求,跳转至登录页面,这个过程与sso-client完全一样

  3、sso-server验证用户登录信息

  用户在登录页面输入用户名密码,请求登录,sso认证中心校验用户信息,校验成功,将会话状态标记为“已登录”

[Java] 纯文本查看 复制代码
1
2
3
4
5
6
@RequestMapping("/login")
 public String login(String username, String password, HttpServletRequest req) {
     this.checkLoginInfo(username, password);
     req.getSession().setAttribute("isLogin", true);
     return "success";
 }

  4、sso-server创建授权令牌

  授权令牌是一串随机字符,以什么样的方式生成都没有关系,只要不重复、不易伪造即可,下面是一个例子:

[Java] 纯文本查看 复制代码
1
String token = UUID.randomUUID().toString();

  5、sso-client取得令牌并校验

  sso认证中心登录后,跳转回子系统并附上令牌,子系统(sso-client)取得令牌,然后去sso认证中心校验,在LoginFilter.java的doFilter()中添加几行

[Java] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
   // 请求附带token参数
   String token = req.getParameter("token");
   if (token != null) {
      // 去sso认证中心校验token
      boolean verifyResult = this.verify("sso-server-verify-url", token);
      if (!verifyResult) {
          res.sendRedirect("sso-server-url");
          return;
      }
      chain.doFilter(request, response);
  }
//verify()方法使用httpClient实现,这里仅简略介绍,httpClient详细使用方法请参考官方文档  
   HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token");
   HttpResponse httpResponse = httpClient.execute(httpPost);

  6、sso-server接收并处理校验令牌请求

  用户在sso认证中心登录成功后,sso-server创建授权令牌并存储该令牌,所以,sso-server对令牌的校验就是去查找这个令牌是否存在以及是否过期,令牌校验成功后sso-server将发送校验请求的系统注册到sso认证中心(就是存储起来的意思)

  令牌与注册系统地址通常存储在key-value数据库(如redis)中,redis可以为key设置有效时间也就是令牌的有效期。redis运行在内存中,速度非常快,正好sso-server不需要持久化任何数据。

  令牌与注册系统地址可以用下图描述的结构存储在redis中,可能你会问,为什么要存储这些系统的地址?如果不存储,注销的时候就麻烦了,用户向sso认证中心提交注销请求,sso认证中心注销全局会话,但不知道哪些系统用此全局会话建立了自己的局部会话,也不知道要向哪些子系统发送注销请求注销局部会话

  3b221593-f9c4-45af-a567-4937786993e8

  7、sso-client校验令牌成功创建局部会话

  令牌校验成功后,sso-client将当前局部会话标记为“已登录”,修改LoginFilter.java,添加几行

    if (verifyResult) {
        session.setAttribute("isLogin", true);
    }
   sso-client还需将当前会话id与令牌绑定,表示这个会话的登录状态与令牌相关,此关系可以用java的hashmap保存,保存的数据用来处理sso认证中心发来的注销请求

  8、注销过程

  用户向子系统发送带有“logout”参数的请求(注销请求),sso-client拦截器拦截该请求,向sso认证中心发起注销请求

     
[Java] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
String logout = req.getParameter("logout");
if (logout != null) {
    this.ssoServer.logout(token);
}
//sso认证中心也用同样的方式识别出sso-client的请求是注销请求(带有“logout”参数),sso认证中心注销全局会话
@RequestMapping("/logout")
public String logout(HttpServletRequest req) {
    HttpSession session = req.getSession();
    if (session != null) {
        session.invalidate();//触发LogoutListener
    }
    return "redirect:/";
}
//sso认证中心有一个全局会话的监听器,一旦全局会话注销,将通知所有注册系统注销  
public class LogoutListener implements HttpSessionListener {
    @Override
    public void sessionCreated(HttpSessionEvent event) {}
    @Override
    public void sessionDestroyed(HttpSessionEvent event) {}
}



作者:传智播客JavaEE培训学院

首发:http://java.itcast.cn