轉(zhuǎn)載

單點(diǎn)登錄原理與簡單實(shí)現(xiàn)

一、單系統(tǒng)登錄機(jī)制

1、http無狀態(tài)協(xié)議

web應(yīng)用采用browser/server架構(gòu)熬的，http作為通信協(xié)議。http是無狀態(tài)協(xié)議赊级，瀏覽器的每一次請求押框，服務(wù)器會獨(dú)立處理，不與之前或之后的請求產(chǎn)生關(guān)聯(lián)此衅，這個過程用下圖說明强戴，三次請求/響應(yīng)對之間沒有任何聯(lián)系

3c91a3bf-25d8-4b1f-8e4a-68535c51aaa8

但這也同時意味著亭螟，任何用戶都能通過瀏覽器訪問服務(wù)器資源，如果想保護(hù)服務(wù)器的某些資源骑歹，必須限制瀏覽器請求预烙；要限制瀏覽器請求，必須鑒別瀏覽器請求道媚，響應(yīng)合法請求扁掸，忽略非法請求；要鑒別瀏覽器請求最域，必須清楚瀏覽器請求狀態(tài)谴分。既然http協(xié)議無狀態(tài)，那就讓服務(wù)器和瀏覽器共同維護(hù)一個狀態(tài)吧镀脂！這就是會話機(jī)制

2牺蹄、會話機(jī)制

瀏覽器第一次請求服務(wù)器，服務(wù)器創(chuàng)建一個會話薄翅，并將會話的id作為響應(yīng)的一部分發(fā)送給瀏覽器沙兰，瀏覽器存儲會話id，并在后續(xù)第二次和第三次請求中帶上會話id翘魄，服務(wù)器取得請求中的會話id就知道是不是同一個用戶了鼎天，這個過程用下圖說明，后續(xù)請求與第一次請求產(chǎn)生了關(guān)聯(lián)

8a9fb230-d506-4b19-b821-4001c68c4588

服務(wù)器在內(nèi)存中保存會話對象暑竟，瀏覽器怎么保存會話id呢斋射？你可能會想到兩種方式

1. 請求參數(shù)
2. cookie

將會話id作為每一個請求的參數(shù)，服務(wù)器接收請求自然能解析參數(shù)獲得會話id但荤，并借此判斷是否來自同一會話罗岖，很明顯，這種方式不靠譜腹躁。那就瀏覽器自己來維護(hù)這個會話id吧呀闻，每次發(fā)送http請求時瀏覽器自動發(fā)送會話id，cookie機(jī)制正好用來做這件事潜慎。cookie是瀏覽器用來存儲少量數(shù)據(jù)的一種機(jī)制捡多，數(shù)據(jù)以”key/value“形式存儲，瀏覽器發(fā)送http請求時自動附帶cookie信息

tomcat會話機(jī)制當(dāng)然也實(shí)現(xiàn)了cookie铐炫，訪問tomcat服務(wù)器時垒手，瀏覽器中可以看到一個名為“JSESSIONID”的cookie，這就是tomcat會話機(jī)制維護(hù)的會話id倒信，使用了cookie的請求響應(yīng)過程如下圖

518293d9-64b2-459c-9d45-9f353c757d1f

3科贬、登錄狀態(tài)

有了會話機(jī)制，登錄狀態(tài)就好明白了，我們假設(shè)瀏覽器第一次請求服務(wù)器需要輸入用戶名與密碼驗(yàn)證身份榜掌，服務(wù)器拿到用戶名密碼去數(shù)據(jù)庫比對优妙，正確的話說明當(dāng)前持有這個會話的用戶是合法用戶，應(yīng)該將這個會話標(biāo)記為“已授權(quán)”或者“已登錄”等等之類的狀態(tài)憎账，既然是會話的狀態(tài)套硼，自然要保存在會話對象中，tomcat在會話對象中設(shè)置登錄狀態(tài)如下

HttpSession session = request.getSession();

session.setAttribute("isLogin", true);

用戶再次訪問時胞皱，tomcat在會話對象中查看登錄狀態(tài)

HttpSession session = request.getSession();

session.getAttribute(``"isLogin"``);

實(shí)現(xiàn)了登錄狀態(tài)的瀏覽器請求服務(wù)器模型如下圖描述

70e396fa-1bf2-42f8-a504-ce20306e31fa

每次請求受保護(hù)資源時都會檢查會話對象中的登錄狀態(tài)邪意，只有 isLogin=true 的會話才能訪問，登錄機(jī)制因此而實(shí)現(xiàn)反砌。

二雾鬼、多系統(tǒng)的復(fù)雜性

web系統(tǒng)早已從久遠(yuǎn)的單系統(tǒng)發(fā)展成為如今由多系統(tǒng)組成的應(yīng)用群，面對如此眾多的系統(tǒng)宴树，用戶難道要一個一個登錄策菜、然后一個一個注銷嗎？就像下圖描述的這樣

6dfbb0b1-46c0-4945-a3bf-5f060fa80710

web系統(tǒng)由單系統(tǒng)發(fā)展成多系統(tǒng)組成的應(yīng)用群酒贬，復(fù)雜性應(yīng)該由系統(tǒng)內(nèi)部承擔(dān)做入，而不是用戶。無論web系統(tǒng)內(nèi)部多么復(fù)雜同衣，對用戶而言，都是一個統(tǒng)一的整體壶运，也就是說耐齐，用戶訪問web系統(tǒng)的整個應(yīng)用群與訪問單個系統(tǒng)一樣，登錄/注銷只要一次就夠了

9fe14ab3-4254-447b-b850-0436e628c254

雖然單系統(tǒng)的登錄解決方案很完美蒋情，但對于多系統(tǒng)應(yīng)用群已經(jīng)不再適用了埠况，為什么呢？

單系統(tǒng)登錄解決方案的核心是cookie棵癣，cookie攜帶會話id在瀏覽器與服務(wù)器之間維護(hù)會話狀態(tài)辕翰。但cookie是有限制的，這個限制就是cookie的域（通常對應(yīng)網(wǎng)站的域名）狈谊，瀏覽器發(fā)送http請求時會自動攜帶與該域匹配的cookie喜命，而不是所有cookie

4d58ccfa-0114-486d-bec2-c28f2f9eb513

既然這樣，為什么不將web應(yīng)用群中所有子系統(tǒng)的域名統(tǒng)一在一個頂級域名下河劝，例如“*.baidu.com”壁榕，然后將它們的cookie域設(shè)置為“baidu.com”，這種做法理論上是可以的赎瞎，甚至早期很多多系統(tǒng)登錄就采用這種同域名共享cookie的方式牌里。

然而，可行并不代表好务甥，共享cookie的方式存在眾多局限牡辽。首先喳篇，應(yīng)用群域名得統(tǒng)一；其次态辛，應(yīng)用群各系統(tǒng)使用的技術(shù)（至少是web服務(wù)器）要相同麸澜，不然cookie的key值（tomcat為JSESSIONID）不同，無法維持會話因妙，共享cookie的方式是無法實(shí)現(xiàn)跨語言技術(shù)平臺登錄的痰憎，比如java、php攀涵、.net系統(tǒng)之間铣耘；第三，cookie本身不安全以故。

因此蜗细，我們需要一種全新的登錄方式來實(shí)現(xiàn)多系統(tǒng)應(yīng)用群的登錄，這就是單點(diǎn)登錄

三怒详、單點(diǎn)登錄

什么是單點(diǎn)登錄炉媒？單點(diǎn)登錄全稱Single Sign On（以下簡稱SSO），是指在多系統(tǒng)應(yīng)用群中登錄一個系統(tǒng)昆烁，便可在其他所有系統(tǒng)中得到授權(quán)而無需再次登錄吊骤，包括單點(diǎn)登錄與單點(diǎn)注銷兩部分

1、登錄

相比于單系統(tǒng)登錄静尼，sso需要一個獨(dú)立的認(rèn)證中心白粉，只有認(rèn)證中心能接受用戶的用戶名密碼等安全信息，其他系統(tǒng)不提供登錄入口鼠渺，只接受認(rèn)證中心的間接授權(quán)鸭巴。間接授權(quán)通過令牌實(shí)現(xiàn)，sso認(rèn)證中心驗(yàn)證用戶的用戶名密碼沒問題拦盹，創(chuàng)建授權(quán)令牌鹃祖，在接下來的跳轉(zhuǎn)過程中，授權(quán)令牌作為參數(shù)發(fā)送給各個子系統(tǒng)普舆，子系統(tǒng)拿到令牌恬口，即得到了授權(quán)，可以借此創(chuàng)建局部會話沼侣，局部會話登錄方式與單系統(tǒng)的登錄方式相同楷兽。這個過程，也就是單點(diǎn)登錄的原理华临，用下圖說明

image

下面對上圖簡要描述

1. 用戶訪問系統(tǒng)1的受保護(hù)資源芯杀，系統(tǒng)1發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至sso認(rèn)證中心，并將自己的地址作為參數(shù)
2. sso認(rèn)證中心發(fā)現(xiàn)用戶未登錄揭厚，將用戶引導(dǎo)至登錄頁面
3. 用戶輸入用戶名密碼提交登錄申請
4. sso認(rèn)證中心校驗(yàn)用戶信息却特，創(chuàng)建用戶與sso認(rèn)證中心之間的會話，稱為全局會話筛圆，同時創(chuàng)建授權(quán)令牌
5. sso認(rèn)證中心帶著令牌跳轉(zhuǎn)會最初的請求地址（系統(tǒng)1）
6. 系統(tǒng)1拿到令牌裂明，去sso認(rèn)證中心校驗(yàn)令牌是否有效
7. sso認(rèn)證中心校驗(yàn)令牌，返回有效太援，注冊系統(tǒng)1
8. 系統(tǒng)1使用該令牌創(chuàng)建與用戶的會話闽晦，稱為局部會話，返回受保護(hù)資源
9. 用戶訪問系統(tǒng)2的受保護(hù)資源
10. 系統(tǒng)2發(fā)現(xiàn)用戶未登錄提岔，跳轉(zhuǎn)至sso認(rèn)證中心仙蛉，并將自己的地址作為參數(shù)
11. sso認(rèn)證中心發(fā)現(xiàn)用戶已登錄，跳轉(zhuǎn)回系統(tǒng)2的地址碱蒙，并附上令牌
12. 系統(tǒng)2拿到令牌荠瘪，去sso認(rèn)證中心校驗(yàn)令牌是否有效
13. sso認(rèn)證中心校驗(yàn)令牌，返回有效赛惩，注冊系統(tǒng)2
14. 系統(tǒng)2使用該令牌創(chuàng)建與用戶的局部會話哀墓，返回受保護(hù)資源

用戶登錄成功之后，會與sso認(rèn)證中心及各個子系統(tǒng)建立會話喷兼，用戶與sso認(rèn)證中心建立的會話稱為全局會話篮绰，用戶與各個子系統(tǒng)建立的會話稱為局部會話，局部會話建立之后季惯，用戶訪問子系統(tǒng)受保護(hù)資源將不再通過sso認(rèn)證中心吠各，全局會話與局部會話有如下約束關(guān)系

1. 局部會話存在，全局會話一定存在
2. 全局會話存在星瘾，局部會話不一定存在
3. 全局會話銷毀，局部會話必須銷毀

你可以通過博客園惧辈、百度琳状、csdn、淘寶等網(wǎng)站的登錄過程加深對單點(diǎn)登錄的理解盒齿，注意觀察登錄過程中的跳轉(zhuǎn)url與參數(shù)

2念逞、注銷

單點(diǎn)登錄自然也要單點(diǎn)注銷，在一個子系統(tǒng)中注銷边翁，所有子系統(tǒng)的會話都將被銷毀翎承，用下面的圖來說明

3b139d2e-0b83-4a69-b4f2-316adb8997ce

sso認(rèn)證中心一直監(jiān)聽全局會話的狀態(tài)，一旦全局會話銷毀符匾，監(jiān)聽器將通知所有注冊系統(tǒng)執(zhí)行注銷操作

下面對上圖簡要說明

1. 用戶向系統(tǒng)1發(fā)起注銷請求
2. 系統(tǒng)1根據(jù)用戶與系統(tǒng)1建立的會話id拿到令牌叨咖，向sso認(rèn)證中心發(fā)起注銷請求
3. sso認(rèn)證中心校驗(yàn)令牌有效，銷毀全局會話，同時取出所有用此令牌注冊的系統(tǒng)地址
4. sso認(rèn)證中心向所有注冊系統(tǒng)發(fā)起注銷請求
5. 各注冊系統(tǒng)接收sso認(rèn)證中心的注銷請求甸各，銷毀局部會話
6. sso認(rèn)證中心引導(dǎo)用戶至登錄頁面

四垛贤、部署圖

單點(diǎn)登錄涉及sso認(rèn)證中心與眾子系統(tǒng)，子系統(tǒng)與sso認(rèn)證中心需要通信以交換令牌趣倾、校驗(yàn)令牌及發(fā)起注銷請求聘惦，因而子系統(tǒng)必須集成sso的客戶端，sso認(rèn)證中心則是sso服務(wù)端儒恋，整個單點(diǎn)登錄過程實(shí)質(zhì)是sso客戶端與服務(wù)端通信的過程善绎，用下圖描述

fb29685c-487c-42b9-9ceb-6c7ee29e98c9

sso認(rèn)證中心與sso客戶端通信方式有多種，這里以簡單好用的httpClient為例诫尽，web service禀酱、rpc、restful api都可以

五箱锐、實(shí)現(xiàn)

只是簡要介紹下基于java的實(shí)現(xiàn)過程比勉，不提供完整源碼，明白了原理驹止，我相信你們可以自己實(shí)現(xiàn)浩聋。sso采用客戶端/服務(wù)端架構(gòu)，我們先看sso-client與sso-server要實(shí)現(xiàn)的功能（下面：sso認(rèn)證中心=sso-server）

sso-client

1. 攔截子系統(tǒng)未登錄用戶請求臊恋，跳轉(zhuǎn)至sso認(rèn)證中心
2. 接收并存儲sso認(rèn)證中心發(fā)送的令牌
3. 與sso-server通信衣洁，校驗(yàn)令牌的有效性
4. 建立局部會話
5. 攔截用戶注銷請求，向sso認(rèn)證中心發(fā)送注銷請求
6. 接收sso認(rèn)證中心發(fā)出的注銷請求抖仅，銷毀局部會話

sso-server

1. 驗(yàn)證用戶的登錄信息
2. 創(chuàng)建全局會話
3. 創(chuàng)建授權(quán)令牌
4. 與sso-client通信發(fā)送令牌
5. 校驗(yàn)sso-client令牌有效性
6. 系統(tǒng)注冊
7. 接收sso-client注銷請求坊夫，注銷所有會話

接下來撤卢，我們按照原理來一步步實(shí)現(xiàn)sso吧环凿！

1、sso-client攔截未登錄請求

java攔截請求的方式有servlet放吩、filter智听、listener三種方式，我們采用filter渡紫。在sso-client中新建LoginFilter.java類并實(shí)現(xiàn)Filter接口到推，在doFilter()方法中加入對未登錄用戶的攔截

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;
    HttpSession session = req.getSession();
     
    if (session.getAttribute("isLogin")) {
        chain.doFilter(request, response);
        return;
    }
    //跳轉(zhuǎn)至sso認(rèn)證中心
    res.sendRedirect("sso-server-url-with-system-url");
}

2、sso-server攔截未登錄請求

攔截從sso-client跳轉(zhuǎn)至sso認(rèn)證中心的未登錄請求惕澎，跳轉(zhuǎn)至登錄頁面莉测，這個過程與sso-client完全一樣

3、sso-server驗(yàn)證用戶登錄信息

用戶在登錄頁面輸入用戶名密碼唧喉，請求登錄捣卤，sso認(rèn)證中心校驗(yàn)用戶信息忍抽，校驗(yàn)成功，將會話狀態(tài)標(biāo)記為“已登錄”

@RequestMapping("/login")
public String login(String username, String password, HttpServletRequest req) {
    this.checkLoginInfo(username, password);
    req.getSession().setAttribute("isLogin", true);
    return "success";
}

4腌零、sso-server創(chuàng)建授權(quán)令牌

授權(quán)令牌是一串隨機(jī)字符梯找，以什么樣的方式生成都沒有關(guān)系，只要不重復(fù)益涧、不易偽造即可锈锤，下面是一個例子

String token = UUID.randomUUID().toString();

5、sso-client取得令牌并校驗(yàn)

sso認(rèn)證中心登錄后闲询，跳轉(zhuǎn)回子系統(tǒng)并附上令牌久免，子系統(tǒng)（sso-client）取得令牌，然后去sso認(rèn)證中心校驗(yàn)扭弧，在LoginFilter.java的doFilter()中添加幾行

// 請求附帶token參數(shù)
String token = req.getParameter("token");
if (token != null) {
    // 去sso認(rèn)證中心校驗(yàn)token
    boolean verifyResult = this.verify("sso-server-verify-url", token);
    if (!verifyResult) {
        res.sendRedirect("sso-server-url");
        return;
    }
    chain.doFilter(request, response);
}

verify()方法使用httpClient實(shí)現(xiàn)阎姥，這里僅簡略介紹，httpClient詳細(xì)使用方法請參考官方文檔

HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token");
HttpResponse httpResponse = httpClient.execute(httpPost);

6鸽捻、sso-server接收并處理校驗(yàn)令牌請求

用戶在sso認(rèn)證中心登錄成功后呼巴，sso-server創(chuàng)建授權(quán)令牌并存儲該令牌掩驱，所以烤芦，sso-server對令牌的校驗(yàn)就是去查找這個令牌是否存在以及是否過期川无，令牌校驗(yàn)成功后sso-server將發(fā)送校驗(yàn)請求的系統(tǒng)注冊到sso認(rèn)證中心（就是存儲起來的意思）

令牌與注冊系統(tǒng)地址通常存儲在key-value數(shù)據(jù)庫（如redis）中光督，redis可以為key設(shè)置有效時間也就是令牌的有效期。redis運(yùn)行在內(nèi)存中施逾，速度非沉猓快印蓖，正好sso-server不需要持久化任何數(shù)據(jù)碘箍。

令牌與注冊系統(tǒng)地址可以用下圖描述的結(jié)構(gòu)存儲在redis中遵馆，可能你會問，為什么要存儲這些系統(tǒng)的地址丰榴？如果不存儲货邓，注銷的時候就麻煩了，用戶向sso認(rèn)證中心提交注銷請求四濒，sso認(rèn)證中心注銷全局會話换况，但不知道哪些系統(tǒng)用此全局會話建立了自己的局部會話，也不知道要向哪些子系統(tǒng)發(fā)送注銷請求注銷局部會話

3b221593-f9c4-45af-a567-4937786993e8

7峻黍、sso-client校驗(yàn)令牌成功創(chuàng)建局部會話

令牌校驗(yàn)成功后复隆，sso-client將當(dāng)前局部會話標(biāo)記為“已登錄”拨匆，修改LoginFilter.java姆涩，添加幾行

if (verifyResult) {
    session.setAttribute("isLogin", true);
}

sso-client還需將當(dāng)前會話id與令牌綁定，表示這個會話的登錄狀態(tài)與令牌相關(guān)惭每，此關(guān)系可以用java的hashmap保存骨饿，保存的數(shù)據(jù)用來處理sso認(rèn)證中心發(fā)來的注銷請求

8亏栈、注銷過程

用戶向子系統(tǒng)發(fā)送帶有“l(fā)ogout”參數(shù)的請求（注銷請求），sso-client攔截器攔截該請求宏赘，向sso認(rèn)證中心發(fā)起注銷請求

String logout = req.getParameter("logout");
if (logout != null) {
    this.ssoServer.logout(token);
}

sso認(rèn)證中心也用同樣的方式識別出sso-client的請求是注銷請求（帶有“l(fā)ogout”參數(shù)）绒北，sso認(rèn)證中心注銷全局會話

@RequestMapping("/logout")
public String logout(HttpServletRequest req) {
    HttpSession session = req.getSession();
    if (session != null) {
        session.invalidate();//觸發(fā)LogoutListener
    }
    return "redirect:/";
}

sso認(rèn)證中心有一個全局會話的監(jiān)聽器，一旦全局會話注銷察署，將通知所有注冊系統(tǒng)注銷

public class LogoutListener implements HttpSessionListener {
    @Override
    public void sessionCreated(HttpSessionEvent event) {}
    @Override
    public void sessionDestroyed(HttpSessionEvent event) {
        //通過httpClient向所有注冊系統(tǒng)發(fā)送注銷請求
    }
}