关键词:
一、什么是单点登录?
单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所
有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。
1.登录
相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理:如图
下面对上图简要描述
- 用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
- sso认证中心发现用户未登录,将用户引导至登录页面
- 用户输入用户名密码提交登录申请
- sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌
- sso认证中心带着令牌跳转会最初的请求地址(系统1)
- 系统1拿到令牌,去sso认证中心校验令牌是否有效
- sso认证中心校验令牌,返回有效,注册系统1
- 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
- 用户访问系统2的受保护资源
- 系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
- sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌
- 系统2拿到令牌,去sso认证中心校验令牌是否有效
- sso认证中心校验令牌,返回有效,注册系统2
- 系统2使用该令牌创建与用户的局部会话,返回受保护资源
用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称
为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系
- 局部会话存在,全局会话一定存在
- 全局会话存在,局部会话不一定存在
- 全局会话销毁,局部会话必须销毁
你可以通过博客园、百度、csdn、淘宝等网站的登录过程加深对单点登录的理解,注意观察登录过程中的跳转url与参数
2.注销
单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁,用下面的图来说明
sso认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知所有注册系统执行注销操作
下面对上图简要说明
- 用户向系统1发起注销请求
- 系统1根据用户与系统1建立的会话id拿到令牌,向sso认证中心发起注销请求
- sso认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址
- sso认证中心向所有注册系统发起注销请求
- 各注册系统接收sso认证中心的注销请求,销毁局部会话
- sso认证中心引导用户至登录页面
二、部署
单点登录涉及sso认证中心与众子系统,子系统与sso认证中心需要通信以交换令牌、校验令牌及发起注销请求,因而子系统
必须集成sso的客户端,sso认证中心则是sso服务端,整个单点登录过程实质是sso客户端与服务端通信的过程,用下图描述
sso认证中心与sso客户端通信方式有多种,这里以简单好用的httpClient为例,web service、rpc、restful api都可以
三、实现
只是简要介绍下基于java的实现过程,不提供完整源码,明白了原理,我相信你们可以自己实现。sso采用客户端/服务端架构,
我们先看sso-client与sso-server要实现的功能(下面:sso认证中心=sso-server)
sso-client
- 拦截子系统未登录用户请求,跳转至sso认证中心
- 接收并存储sso认证中心发送的令牌
- 与sso-server通信,校验令牌的有效性
- 建立局部会话
- 拦截用户注销请求,向sso认证中心发送注销请求
- 接收sso认证中心发出的注销请求,销毁局部会话
sso-server
- 验证用户的登录信息
- 创建全局会话
- 创建授权令牌
- 与sso-client通信发送令牌
- 校验sso-client令牌有效性
- 系统注册
- 接收sso-client注销请求,注销所有会话
接下来,我们按照原理来一步步实现sso吧!
1、sso-client拦截未登录请求
java拦截请求的方式有servlet、filter、listener三种方式,我们采用filter。在sso-client中新建LoginFilter.java类并实现Filter接口,在doFilter()方法
中加入对未登录用户的拦截
1
2
3
4
5
6
7
8
9
10
11
12
|
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response; HttpSession session = req.getSession(); if (session.getAttribute( "isLogin" )) chain.doFilter(request, response); return ;
//跳转至sso认证中心 res.sendRedirect( "sso-server-url-with-system-url" );
|
2、sso-server拦截未登录请求
拦截从sso-client跳转至sso认证中心的未登录请求,跳转至登录页面,这个过程与sso-client完全一样
3、sso-server验证用户登录信息
用户在登录页面输入用户名密码,请求登录,sso认证中心校验用户信息,校验成功,将会话状态标记为“已登录”
1
2
3
4
5
6
|
@RequestMapping ( "/login" ) public String login(String username, String password, HttpServletRequest req) this .checkLoginInfo(username, password); req.getSession().setAttribute( "isLogin" , true ); return "success" ;
|
4、sso-server创建授权令牌
授权令牌是一串随机字符,以什么样的方式生成都没有关系,只要不重复、不易伪造即可,下面是一个例子
1
|
String token = UUID.randomUUID().toString(); |
5、sso-client取得令牌并校验
sso认证中心登录后,跳转回子系统并附上令牌,子系统(sso-client)取得令牌,然后去sso认证中心校验,在LoginFilter.java的doFilter()中添加几行
1
2
3
4
5
6
7
8
9
10
11
|
// 请求附带token参数 String token = req.getParameter( "token" ); if (token != null ) // 去sso认证中心校验token boolean verifyResult = this .verify( "sso-server-verify-url" , token); if (!verifyResult) res.sendRedirect( "sso-server-url" ); return ;
chain.doFilter(request, response);
|
verify()方法使用httpClient实现,这里仅简略介绍,httpClient详细使用方法请参考官方文档
1
2
|
HttpPost httpPost = new HttpPost( "sso-server-verify-url-with-token" ); HttpResponse httpResponse = httpClient.execute(httpPost); |
6、sso-server接收并处理校验令牌请求
用户在sso认证中心登录成功后,sso-server创建授权令牌并存储该令牌,所以,sso-server对令牌的校验就是去查找这个令牌是否存在以
及是否过期,令牌校验成功后sso-server将发送校验请求的系统注册到sso认证中心(就是存储起来的意思)
令牌与注册系统地址通常存储在key-value数据库(如redis)中,redis可以为key设置有效时间也就是令牌的有效期。redis运行在内存中,
速度非常快,正好sso-server不需要持久化任何数据。
令牌与注册系统地址可以用下图描述的结构存储在redis中,可能你会问,为什么要存储这些系统的地址?如果不存储,注销的时候就麻烦
了,用户向sso认证中心提交注销请求,sso认证中心注销全局会话,但不知道哪些系统用此全局会话建立了自己的局部会话,也不知道要向哪
些子系统发送注销请求注销局部会话
7、sso-client校验令牌成功创建局部会话
令牌校验成功后,sso-client将当前局部会话标记为“已登录”,修改LoginFilter.java,添加几行
1
2
3
|
if (verifyResult) session.setAttribute( "isLogin" , true );
|
sso-client还需将当前会话id与令牌绑定,表示这个会话的登录状态与令牌相关,此关系可以用java的hashmap保存,保存的数据用来处理sso认证中心发来的注销请求
8、注销过程
用户向子系统发送带有“logout”参数的请求(注销请求),sso-client拦截器拦截该请求,向sso认证中心发起注销请求
1
2
3
4
|
String logout = req.getParameter( "logout" ); if (logout != null ) this .ssoServer.logout(token);
|
sso认证中心也用同样的方式识别出sso-client的请求是注销请求(带有“logout”参数),sso认证中心注销全局会话
1
2
3
4
5
6
7
8
|
@RequestMapping ( "/logout" ) public String logout(HttpServletRequest req) HttpSession session = req.getSession(); if (session != null ) session.invalidate(); //触发LogoutListener
return "redirect:/" ;
|
sso认证中心有一个全局会话的监听器,一旦全局会话注销,将通知所有注册系统注销
1
2
3
4
5
6
7
8
|
public class LogoutListener implements HttpSessionListener @Override public void sessionCreated(HttpSessionEvent event) @Override public void sessionDestroyed(HttpSessionEvent event) //通过httpClient向所有注册系统发送注销请求
|
转载自:
作者:凌承一
出处:http://www.cnblogs.com/ywlaker/
声明:本文版权归作者和博客园共有,欢迎转载,但转载必须保留此段声明,并在文章页面明显位置给出原文链接,否则作者将保留追究法律责任的权利。
单点登录与权限管理本质:单点登录介绍
继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,前两篇介绍了session与cookie和HTTP重定向,有了他们,浏览器就可以在多个系统间自动交互,实现自动登录。本篇介绍下单点登录,所谓单点登录,就... 查看详情
office365实现单点登录系列—配置单点登录
这是单点登录系列的最后一篇文章,前面4篇文章其实都是在为这篇文章的内容做准备,我把这四篇文章的链接放在下面,如果大家有需要,可以参考我以下的链接:Office365实现单点登录系列(1)—域环境搭建Office365实现单点登录... 查看详情
单点登录
一、什么是单点登录? 单点登录全称SingleSignOn(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。1.登录 相比于单系统登录,sso需... 查看详情
单点登录
什么是单点登录? 单点登录(SingleSignOn),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录... 查看详情
单点登录测试点
什么是单点登录?单点登录全称SingleSignOn(简称SSO),是指是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,包括单点登录与单点注销两部分。是目前比较流行的企业业务整... 查看详情
单点登录
什么是单点登录系统(SingleSignOn)? 在多个系统中,用户只要登录一次就可以访问所有的子系统。1.单点登录系统(SSO): 创建单点登录系统,独立的工程。发布登录和注册的接口。公司中的一个系统中,只需要调用一个... 查看详情
单点登录-需求分析
说单点登录之前,我们必须要搞明白这些事:单点登录是干啥的?为啥要用单点登录。 单点登录系统-SingleSignOn(SSO)是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次... 查看详情
单点登录和单一登录的区别?
1.单点登录:单点登录是登录之后 所有该域名的网站都可以不用登录了把 包括子域名。单点登录是从一个系统登录以后,其他地方不用登录。。。单点登录(SingleSignOn),简称为 SSO,是目前比较流行的企业业务整合... 查看详情
10多年单点登录的工作经历,和单点登录方案的选择,纯口水
接触单点登录10几年了接触单点登录已经有10多年了,从自己写代码开发单点登录系统,到后来逐渐的直接使用开源CAS做解决方案,也算是行业老司机了。自己开发的单点登录自己开发过两套单点登录系统;第一套是使用petstore+EJ... 查看详情
单点登录sso
目录一、前言二、初识SSO2.1SSO是什么?单点登录是什么?2.2单点登录的现实需求?单点登录的实现方式?2.3从单一架构到分布式架构三、传统登录3.1传统登录业务流程3.2传统登录存在的问题3.3解决思路四、单点登录4.1... 查看详情
单点登录,session,jsonp(待更新)
单点登录理解:单点登录系统设计:ajax跨域: 查看详情
单点登录参考
http://www.docin.com/p-5227988.html?docfrom=rrela 单点登录技术文档http://www.docin.com/p-1430853047.html?_t_t_t=0.16638332161534652 单点登录技术现状http://www.cnblogs.com/ywlaker/p/6113927.html单点登录入门http:// 查看详情
单点登录
一、什么是单点登录SSO(SingleSign-On) SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需... 查看详情
如何设计一个单点登录系统?
如何设计一个单点登录系统(1)? 中,我着重从单点登录系统的由来,单点登录的概念,一个好的单点登录系统应该具备的特点以及本人亲自实现的一个单点登录系统几方面做了些介绍,这篇文章主要介绍下具体实现方案... 查看详情
单点登录(sso)初识
单点登录英文全称SingleSignOn,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。普通的登录认证机制cookiesession同域下(顶级域名相同,子域不同)的单点登陆(Cookie是不能... 查看详情
单点登录-sso
单点登录(SingleSign-On)1、同域单点登录 登录的时候,设置cookie的域即可。2、跨域单点登录 重点是,如何在浏览器端保存登录的标识。 祭图:(脑补) 三个系统: a.aaa.com b.bbb.com ... 查看详情
shiro单点登录原理实例
Shiro1.2开始提供了JasigCAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。JasigCAS单点登录系统分为服务器端和客户端,服... 查看详情
单点登录实现原理和单点登录服务器设计
sso单点登录是什么java实现SSO什么是SSOSSO(SingleSignOn)单点登录是实现多个系统之间统一登录的验证系统,简单来说就是:有A,B,C三个系统,在A处登录过后,再访问B系统,B系统就已经处于了... 查看详情