如何设计一个单点登录系统(3)?

在上一篇文章

如何设计一个单点登录系统(2)?

中主要讲解了可跨域SSO系统服务端,客户端在登录,登出过程中分别应该承担的职责,本文将重点聊一下具体技术实现,源码地址: https://github.com/zhoudapeng/zsso

首先聊服务端的实现,毕竟服务端是整个单点登录系统的大脑

  1. 提供登录页,这个是登录的基础,所有的接入方在发现当前用户未登录的情况下都会重定向到sso服务端的登录页,服务端的逻辑如下:

sso服务端登录页逻辑

这里服务端需要做个判断:

  • 如果当前登录存在.sso.com域下的有效cookie,则证明此用户之前在其他业务系统登录过,此时无需再让用户登录,只需要绑定token与此系统名的关系,然后重定向到此系统的回调接口(接入方需要在此回调接口中验证token,创建本地会话)
  • 不存在.sso.com域下的有效cookie,证明此用户未登录过,需要跳转到登录页,让用户登录,为了用户登录后能直接进入之前的页面,这里重定向的过程中需要带上redirectUrl 这个参数

2.提供登录接口,用户在登录页输入账号密码后会通过form表单已post的形式提交到此接口

sso服务端登录form表单提交处理逻辑

  • 如果账号密码不对,则再次跳转到登录页
  • 账号密码匹配,则需要创建token,绑定token与系统名的关系,写全局cookie,然后重定向到接入方的回调地址

3.提供验证token接口

sso服务端验证token接口

  • token不存在,返回验证失败
  • token存在,则取出token的有效截止日期,并绑定token与系统名的关系

4.提供登出接口

sso服务端登出接口

登出时,需要根据token查到所有绑定过的系统名,然后调用各个系统的登出接口一一登出。

以上是服务端需要提供的4个接口,下面我们再将一下客户端的实现

在第一篇文章中讲过,一个好的sso系统必须要让接入方接入简单,所以本人借鉴了spring auto-driven的思想,也提供了对应的命名空间,并抽象出了UrlHelper,UserStore,ZssoClient,ZssoConfigResolver4个组件,以及默认实现类,接入方在接入过程中可以随意拓展这4个组件,然后直接注入到业务层上下文即可。

  • UrlHelper:拼接url的组件,如无特殊需求不建议重新实现
  • ZssoClient:跟服务端交互的组件,如无特殊需求不建议重新实现
  • ZssoConfigResolver:解析配置文件的组件,默认实现是读取本地classpath下zsso-client.properties配置文件,如无特殊需求不建议重新实现
  • UserStore:存取用户信息的组件,包括根据token解析用户信息,绑定token与userId关系,解绑token,默认实现只是为了演示用,接入方请务必自己实现此接口,并以userStore的名称注入到业务层上下文中。

拓展组件使用方式:

拓展UserStore组件配置方式

在spring扫描掉<zsso:auto-driven/>时会去回调ZssoNamespaceHandler的init方法,最终执行ZssoBeanDefinitionParser的parse方法,在此方法中会去检查每个组件是否有注入对应的BeanDefinition,如果没有则会自动注入默认实现类,核心代码如下:

ZssoBeanDefinitionParser核心代码

ComponentInitializer核心代码

至此组件初始化的问题已经解决了,另外需要接入方开发的是如下问题:

  1. 判断登录状态
  2. 登录成功回调接口(包括check token的逻辑)
  3. 登出回调接口

既然每个接入方都有这样的共性,所以我提供了一个ZssoFilter,在Filter里根据不同的url做不同的处理,接入方只需要配置此Filter即可,Filter内部会自动去获取组件,接入方只需要拓展相关组件即可,ZssoFilter核心代码如下:

ZssoFilter核心逻辑

LoginCallbackFilter已封装好解析请求参数中token,check token,创建本地会话,跳转到原页面等功能

LoginCheckFilter已封装好判断当前用户是否登录及跳转到登录页的逻辑

LogoutFilter已封装好删除本地会话的功能

代码中很多代码都是演示类的,尤其是server端的实现,比如保持用户信息都是存的本地缓存,如果要放到生成环境则需要优化下这块的逻辑,比如放到redis这样的分布式缓存等等。

最后非常感谢大家能在百忙中抽空看我的文章,大家的每一次查看都是我继续写文章的动力,由于本人是典型理科男,文笔可能欠妥,希望大家能够继续支持我,我也会继续努力,继续坚持原创,但愿能让大家都能有所收获!

原文地址:https://www.cnblogs.com/a8457013/p/9055266.html

时间: 2024-07-31 09:51:10

如何设计一个单点登录系统(3)?的相关文章

如何设计一个单点登录系统(2)?

如何设计一个单点登录系统(1)? 中,我着重从单点登录系统的由来,单点登录的概念,一个好的单点登录系统应该具备的特点以及本人亲自实现的一个单点登录系统几方面做了些介绍,这篇文章主要介绍下具体实现方案. 1.1 传统SSO实现方案-登录 1.2 传统SSO实现方案-登出 图1.1为传统SSO实现方案中登录流程时序图 图1.2为传统SSO实现方案中登出流程时序图 接下来给大家解释解决跨域问题的方案: 2.1 支持跨域的SSO实现方案-登录 2.2 支持跨域的SSO实现方案-登出 图2.1为支持跨域的

sso单点登录系统

sso单点登录概念 1.一处登录,处处登录.会单独做一个单点登录系统,只负责颁发token和验证token,和页面登录功能. 2.通过在浏览器cookie中放入token,和在redis中对应token放入用户信息的方式,代替session共享,使用jwt(json web token)自定义一个携带用户信息token加密算法. 3.cookie中的token是已经使用过的token,取名oldToken . url地址栏中的token新颁发的token,取名newToken 做法: 1.首先自

八幅漫画理解使用 JSON Web Token 设计单点登录系统

原文出处: John Wu 上次在<JSON Web Token – 在Web应用间安全地传递信息>中我提到了JSON Web Token可以用来设计单点登录系统.我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统. 如果还没有阅读<JSON Web Token – 在Web应用间安全地传递信息>,我强烈建议你花十分钟阅读它,理解JWT的生成过程和原理. 用户认证八步走 所谓用户认证(Authentication),就是让用户登录,并且在接下来的一段时

跨域单点登录系统的设计与实现

跨域单点登录系统的设计与实现 一.跨域单点登录系统整体设计 1. 系统架构 如上图所示:在系统存在一个认证中心以及多个站点.用户信息统一由认证中心管理,在其它子站的登录均会跳转到认证中心来登录. 2. 工作流程 单点登录系统的关键在于,当用户从一个子站登录后,它会在认证中心生成ticket标识,只要该标识存在就代表用户已经成功登陆了.每个子站在进入之前,无论本地ticket标识是否存在,均会去请求一次认证中心,要做的事情如下:如果子站ticket不存在,并不一定代表用户没有从别的子站登录,但是如

八幅漫画理解使用JSON Web Token设计单点登录系统

转载自:http://blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/ 上次在<JSON Web Token - 在Web应用间安全地传递信息>中我提到了JSON Web Token可以用来设计单点登录系统.我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统. 如果还没有阅读<JSON Web Token - 在Web应用间安全地传递信息>,我强烈建议你花十分钟阅读它,理解JWT的

[转]八幅漫画理解使用JSON Web Token设计单点登录系统

上次在<JSON Web Token - 在Web应用间安全地传递信息>中我提到了JSON Web Token可以用来设计单点登录系统.我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统. 如果还没有阅读<JSON Web Token - 在Web应用间安全地传递信息>,我强烈建议你花十分钟阅读它,理解JWT的生成过程和原理. 用户认证八步走 所谓用户认证(Authentication),就是让用户登录,并且在接下来的一段时间内让用户访问网站时可以使用

单点登录系统(SSO)的开发思路

单点登录并不是一个新鲜的玩意儿,比较官方的解释是企业业务整合的解决方案之一,通俗来讲SSO就是一个通用的用户中心,国内比较流行的UCenter就是一套单点登录解决方案.而近期以CSDN明文存储用户密码并泄露用户信息开始的各大网站争先恐后的泄露自己的用户数据库除了暴露了这些网站的良心和智商外,如何设计用户中心已成为架构师们的热点话题之一.在最近一两年的项目经验中有幸接触到各种平台的单点登录系统的开发,所以借此机会总结下B/S架构的单点登录系统的开发经验. 单点登录系统的类别 就目前比较流行的应用来

多平台的网站实现单点登录系统(SSO)的开发思路 让你的会员中心更加统一(参考资料)

单点登录并不是一个新鲜的玩意儿,比较官方的解释是企业业务整合的解决方案之一,通俗来讲SSO就是一个通用的用户中心,国内比较流行的UCenter就是一套单点登录解决方案.而近期以CSDN明文存储用户密码并泄露用户信息开始的各大网站争先恐后的泄露自己的用户数据库除了暴露了这些网站的良心和智商外,如何设计用户中心已成为架构师们的热点话题之一.在最近一两年的项目经验中有幸接触到各种平台的单点登录系统的开发,所以借此机会总结下B/S架构的单点登录系统的开发经验. 单点登录系统的类别 就目前比较流行的应用来

单点登录系统(SSO)之CAS(中央认证服务)

SSO(Single Sign On)单点登录系统,是在多个系统中值要求只要登录一次,就可以用已登录的身份访问多个系统,去掉了每次访问不同的系统都要重新登录的弊端. CAS(中央/集中认证服务):The Central Authentication Service project, more commonly referred to as CAS is an authentication system originally created by Yale University to provid