一、單系統(tǒng)登錄機(jī)制
1姚糊、http無狀態(tài)協(xié)議
web應(yīng)用采用browser/server架構(gòu),http作為通信協(xié)議授舟。http是無狀態(tài)協(xié)議救恨,瀏覽器的每一次請求,服務(wù)器會(huì)獨(dú)立處理释树,不與之前或之后的請求產(chǎn)生關(guān)聯(lián)肠槽,這個(gè)過程用下圖說明,三次請求/響應(yīng)對之間沒有任何聯(lián)系奢啥。
但這也同時(shí)意味著秸仙,任何用戶都能通過瀏覽器訪問服務(wù)器資源,如果想保護(hù)服務(wù)器的某些資源桩盲,必須限制瀏覽器請求筋栋;要限制瀏覽器請求,必須鑒別瀏覽器請求正驻,響應(yīng)合法請求,忽略非法請求抢腐;要鑒別瀏覽器請求姑曙,必須清楚瀏覽器請求狀態(tài)。既然http協(xié)議無狀態(tài)迈倍,那就讓服務(wù)器和瀏覽器共同維護(hù)一個(gè)狀態(tài)吧伤靠!這就是會(huì)話機(jī)制。
2、會(huì)話機(jī)制
瀏覽器第一次請求服務(wù)器宴合,服務(wù)器創(chuàng)建一個(gè)會(huì)話焕梅,并將會(huì)話的id作為響應(yīng)的一部分發(fā)送給瀏覽器,瀏覽器存儲會(huì)話id卦洽,并在后續(xù)第二次和第三次請求中帶上會(huì)話id贞言,服務(wù)器取得請求中的會(huì)話id就知道是不是同一個(gè)用戶了,這個(gè)過程用下圖說明阀蒂,后續(xù)請求與第一次請求產(chǎn)生了關(guān)聯(lián)该窗。
服務(wù)器在內(nèi)存中保存會(huì)話對象,瀏覽器怎么保存會(huì)話id呢蚤霞?你可能會(huì)想到兩種方式酗失。
請求參數(shù)
cookie
將會(huì)話id作為每一個(gè)請求的參數(shù),服務(wù)器接收請求自然能解析參數(shù)獲得會(huì)話id昧绣,并借此判斷是否來自同一會(huì)話规肴,很明顯,這種方式不靠譜夜畴。那就瀏覽器自己來維護(hù)這個(gè)會(huì)話id吧拖刃,每次發(fā)送http請求時(shí)瀏覽器自動(dòng)發(fā)送會(huì)話id,cookie機(jī)制正好用來做這件事斩启。cookie是瀏覽器用來存儲少量數(shù)據(jù)的一種機(jī)制序调,數(shù)據(jù)以”key/value“形式存儲,瀏覽器發(fā)送http請求時(shí)自動(dòng)附帶cookie信息兔簇。
tomcat會(huì)話機(jī)制當(dāng)然也實(shí)現(xiàn)了cookie发绢,訪問tomcat服務(wù)器時(shí),瀏覽器中可以看到一個(gè)名為“JSESSIONID”的cookie垄琐,這就是tomcat會(huì)話機(jī)制維護(hù)的會(huì)話id边酒,使用了cookie的請求響應(yīng)過程如下圖。
3狸窘、登錄狀態(tài)
有了會(huì)話機(jī)制墩朦,登錄狀態(tài)就好明白了,我們假設(shè)瀏覽器第一次請求服務(wù)器需要輸入用戶名與密碼驗(yàn)證身份翻擒,服務(wù)器拿到用戶名密碼去數(shù)據(jù)庫比對氓涣,正確的話說明當(dāng)前持有這個(gè)會(huì)話的用戶是合法用戶,應(yīng)該將這個(gè)會(huì)話標(biāo)記為“已授權(quán)”或者“已登錄”等等之類的狀態(tài)陋气,既然是會(huì)話的狀態(tài)劳吠,自然要保存在會(huì)話對象中,tomcat在會(huì)話對象中設(shè)置登錄狀態(tài)如下巩趁。
HttpSession session = request.getSession();
session.setAttribute("isLogin", true);
用戶再次訪問時(shí)痒玩,tomcat在會(huì)話對象中查看登錄狀態(tài)
HttpSession session = request.getSession();
session.getAttribute("isLogin");
實(shí)現(xiàn)了登錄狀態(tài)的瀏覽器請求服務(wù)器模型如下圖描述。
每次請求受保護(hù)資源時(shí)都會(huì)檢查會(huì)話對象中的登錄狀態(tài),只有 isLogin=true 的會(huì)話才能訪問蠢古,登錄機(jī)制因此而實(shí)現(xiàn)奴曙。
二、多系統(tǒng)的復(fù)雜性
web系統(tǒng)早已從久遠(yuǎn)的單系統(tǒng)發(fā)展成為如今由多系統(tǒng)組成的應(yīng)用群草讶,面對如此眾多的系統(tǒng)洽糟,用戶難道要一個(gè)一個(gè)登錄、然后一個(gè)一個(gè)注銷嗎到涂?就像下圖描述的這樣脊框。
web系統(tǒng)由單系統(tǒng)發(fā)展成多系統(tǒng)組成的應(yīng)用群,復(fù)雜性應(yīng)該由系統(tǒng)內(nèi)部承擔(dān)践啄,而不是用戶浇雹。無論web系統(tǒng)內(nèi)部多么復(fù)雜,對用戶而言屿讽,都是一個(gè)統(tǒng)一的整體昭灵,也就是說,用戶訪問web系統(tǒng)的整個(gè)應(yīng)用群與訪問單個(gè)系統(tǒng)一樣伐谈,登錄/注銷只要一次就夠了烂完。
雖然單系統(tǒng)的登錄解決方案很完美,但對于多系統(tǒng)應(yīng)用群已經(jīng)不再適用了诵棵,為什么呢抠蚣?
單系統(tǒng)登錄解決方案的核心是cookie,cookie攜帶會(huì)話id在瀏覽器與服務(wù)器之間維護(hù)會(huì)話狀態(tài)履澳。但cookie是有限制的嘶窄,這個(gè)限制就是cookie的域(通常對應(yīng)網(wǎng)站的域名),瀏覽器發(fā)送http請求時(shí)會(huì)自動(dòng)攜帶與該域匹配的cookie距贷,而不是所有cookie柄冲。
既然這樣,為什么不將web應(yīng)用群中所有子系統(tǒng)的域名統(tǒng)一在一個(gè)頂級域名下忠蝗,例如“*.baidu.com”现横,然后將它們的cookie域設(shè)置為“baidu.com”,這種做法理論上是可以的阁最,甚至早期很多多系統(tǒng)登錄就采用這種同域名共享cookie的方式戒祠。
然而,可行并不代表好速种,共享cookie的方式存在眾多局限姜盈。首先,應(yīng)用群域名得統(tǒng)一哟旗;其次,應(yīng)用群各系統(tǒng)使用的技術(shù)(至少是web服務(wù)器)要相同,不然cookie的key值(tomcat為JSESSIONID)不同闸餐,無法維持會(huì)話饱亮,共享cookie的方式是無法實(shí)現(xiàn)跨語言技術(shù)平臺登錄的,比如java舍沙、php近上、.net系統(tǒng)之間;第三拂铡,cookie本身不安全壹无。
因此,我們需要一種全新的登錄方式來實(shí)現(xiàn)多系統(tǒng)應(yīng)用群的登錄感帅,這就是單點(diǎn)登錄斗锭。
三、單點(diǎn)登錄
什么是單點(diǎn)登錄失球?單點(diǎn)登錄全稱Single Sign On(以下簡稱SSO)岖是,是指在多系統(tǒng)應(yīng)用群中登錄一個(gè)系統(tǒng),便可在其他所有系統(tǒng)中得到授權(quán)而無需再次登錄实苞,包括單點(diǎn)登錄與單點(diǎn)注銷兩部分。
1、登錄
相比于單系統(tǒng)登錄窖剑,sso需要一個(gè)獨(dú)立的認(rèn)證中心煤惩,只有認(rèn)證中心能接受用戶的用戶名密碼等安全信息,其他系統(tǒng)不提供登錄入口猾浦,只接受認(rèn)證中心的間接授權(quán)陆错。間接授權(quán)通過令牌實(shí)現(xiàn),sso認(rèn)證中心驗(yàn)證用戶的用戶名密碼沒問題跃巡,創(chuàng)建授權(quán)令牌危号,在接下來的跳轉(zhuǎn)過程中,授權(quán)令牌作為參數(shù)發(fā)送給各個(gè)子系統(tǒng)素邪,子系統(tǒng)拿到令牌外莲,即得到了授權(quán),可以借此創(chuàng)建局部會(huì)話兔朦,局部會(huì)話登錄方式與單系統(tǒng)的登錄方式相同偷线。這個(gè)過程,也就是單點(diǎn)登錄的原理沽甥,用下圖說明声邦。
下面對上圖簡要描述。
用戶訪問系統(tǒng)1的受保護(hù)資源摆舟,系統(tǒng)1發(fā)現(xiàn)用戶未登錄亥曹,跳轉(zhuǎn)至sso認(rèn)證中心邓了,并將自己的地址作為參數(shù);
sso認(rèn)證中心發(fā)現(xiàn)用戶未登錄媳瞪,將用戶引導(dǎo)至登錄頁面骗炉;
用戶輸入用戶名密碼提交登錄申請;
sso認(rèn)證中心校驗(yàn)用戶信息蛇受,創(chuàng)建用戶與sso認(rèn)證中心之間的會(huì)話句葵,稱為全局會(huì)話,同時(shí)創(chuàng)建授權(quán)令牌兢仰;
sso認(rèn)證中心帶著令牌跳轉(zhuǎn)會(huì)最初的請求地址(系統(tǒng)1)乍丈;
系統(tǒng)1拿到令牌,去sso認(rèn)證中心校驗(yàn)令牌是否有效把将;
sso認(rèn)證中心校驗(yàn)令牌轻专,返回有效,注冊系統(tǒng)1秸弛;
系統(tǒng)1使用該令牌創(chuàng)建與用戶的會(huì)話铭若,稱為局部會(huì)話,返回受保護(hù)資源递览;
用戶訪問系統(tǒng)2的受保護(hù)資源叼屠;
系統(tǒng)2發(fā)現(xiàn)用戶未登錄,跳轉(zhuǎn)至sso認(rèn)證中心绞铃,并將自己的地址作為參數(shù)镜雨;
sso認(rèn)證中心發(fā)現(xiàn)用戶已登錄,跳轉(zhuǎn)回系統(tǒng)2的地址儿捧,并附上令牌荚坞;
系統(tǒng)2拿到令牌,去sso認(rèn)證中心校驗(yàn)令牌是否有效菲盾;
sso認(rèn)證中心校驗(yàn)令牌颓影,返回有效,注冊系統(tǒng)2懒鉴;
系統(tǒng)2使用該令牌創(chuàng)建與用戶的局部會(huì)話诡挂,返回受保護(hù)資源。
用戶登錄成功之后临谱,會(huì)與sso認(rèn)證中心及各個(gè)子系統(tǒng)建立會(huì)話璃俗,用戶與sso認(rèn)證中心建立的會(huì)話稱為全局會(huì)話,用戶與各個(gè)子系統(tǒng)建立的會(huì)話稱為局部會(huì)話悉默,局部會(huì)話建立之后城豁,用戶訪問子系統(tǒng)受保護(hù)資源將不再通過sso認(rèn)證中心,全局會(huì)話與局部會(huì)話有如下約束關(guān)系抄课。
局部會(huì)話存在唱星,全局會(huì)話一定存在雳旅;
全局會(huì)話存在,局部會(huì)話不一定存在间聊;
全局會(huì)話銷毀岭辣,局部會(huì)話必須銷毀。
你可以通過博客園甸饱、百度、csdn仑濒、淘寶等網(wǎng)站的登錄過程加深對單點(diǎn)登錄的理解叹话,注意觀察登錄過程中的跳轉(zhuǎn)url與參數(shù)。
2墩瞳、注銷
單點(diǎn)登錄自然也要單點(diǎn)注銷驼壶,在一個(gè)子系統(tǒng)中注銷,所有子系統(tǒng)的會(huì)話都將被銷毀喉酌,用下面的圖來說明热凹。
sso認(rèn)證中心一直監(jiān)聽全局會(huì)話的狀態(tài),一旦全局會(huì)話銷毀泪电,監(jiān)聽器將通知所有注冊系統(tǒng)執(zhí)行注銷操作般妙。
下面對上圖簡要說明。
用戶向系統(tǒng)1發(fā)起注銷請求
系統(tǒng)1根據(jù)用戶與系統(tǒng)1建立的會(huì)話id拿到令牌相速,向sso認(rèn)證中心發(fā)起注銷請求
sso認(rèn)證中心校驗(yàn)令牌有效碟渺,銷毀全局會(huì)話,同時(shí)取出所有用此令牌注冊的系統(tǒng)地址
sso認(rèn)證中心向所有注冊系統(tǒng)發(fā)起注銷請求
各注冊系統(tǒng)接收sso認(rèn)證中心的注銷請求突诬,銷毀局部會(huì)話
sso認(rèn)證中心引導(dǎo)用戶至登錄頁面
四苫拍、部署圖
單點(diǎn)登錄涉及sso認(rèn)證中心與眾子系統(tǒng),子系統(tǒng)與sso認(rèn)證中心需要通信以交換令牌旺隙、校驗(yàn)令牌及發(fā)起注銷請求绒极,因而子系統(tǒng)必須集成sso的客戶端,sso認(rèn)證中心則是sso服務(wù)端蔬捷,整個(gè)單點(diǎn)登錄過程實(shí)質(zhì)是sso客戶端與服務(wù)端通信的過程垄提,用下圖描述。
sso認(rèn)證中心與sso客戶端通信方式有多種抠刺,這里以簡單好用的httpClient為例塔淤,web service、rpc速妖、restful api都可以高蜂。
五、實(shí)現(xiàn)
只是簡要介紹下基于java的實(shí)現(xiàn)過程罕容,不提供完整源碼备恤,明白了原理稿饰,我相信你們可以自己實(shí)現(xiàn)。sso采用客戶端/服務(wù)端架構(gòu)露泊,我們先看sso-client與sso-server要實(shí)現(xiàn)的功能(下面:sso認(rèn)證中心=sso-server)喉镰。
sso-client
攔截子系統(tǒng)未登錄用戶請求,跳轉(zhuǎn)至sso認(rèn)證中心惭笑;
接收并存儲sso認(rèn)證中心發(fā)送的令牌侣姆;
與sso-server通信,校驗(yàn)令牌的有效性沉噩;
建立局部會(huì)話捺宗;
攔截用戶注銷請求,向sso認(rèn)證中心發(fā)送注銷請求川蒙;
接收sso認(rèn)證中心發(fā)出的注銷請求蚜厉,銷毀局部會(huì)話。
sso-server
驗(yàn)證用戶的登錄信息畜眨;
創(chuàng)建全局會(huì)話昼牛;
創(chuàng)建授權(quán)令牌;
與sso-client通信發(fā)送令牌康聂;
校驗(yàn)sso-client令牌有效性贰健;
系統(tǒng)注冊;
接收sso-client注銷請求恬汁,注銷所有會(huì)話霎烙。
接下來,我們按照原理來一步步實(shí)現(xiàn)sso吧蕊连!
1悬垃、sso-client攔截未登錄請求
Java攔截請求的方式有servlet、filter甘苍、listener三種方式尝蠕,我們采用filter。在sso-client中新建LoginFilter.java類并實(shí)現(xiàn)Filter接口载庭,在doFilter()方法中加入對未登錄用戶的攔截看彼。
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
? ? HttpServletRequest req = (HttpServletRequest) request;
? ? HttpServletResponse res = (HttpServletResponse) response;
? ? HttpSession session = req.getSession();
? ? if (session.getAttribute("isLogin")) {
? ? ? ? chain.doFilter(request, response);
? ? ? ? return;
? ? }
? ? //跳轉(zhuǎn)至sso認(rèn)證中心
? ? res.sendRedirect("sso-server-url-with-system-url");
}
2、sso-server攔截未登錄請求
攔截從sso-client跳轉(zhuǎn)至sso認(rèn)證中心的未登錄請求囚聚,跳轉(zhuǎn)至登錄頁面靖榕,這個(gè)過程與sso-client完全一樣。
3顽铸、sso-server驗(yàn)證用戶登錄信息
用戶在登錄頁面輸入用戶名密碼茁计,請求登錄,sso認(rèn)證中心校驗(yàn)用戶信息谓松,校驗(yàn)成功星压,將會(huì)話狀態(tài)標(biāo)記為“已登錄”践剂。
@RequestMapping("/login")
public String login(String username, String password, HttpServletRequest req) {
? ? this.checkLoginInfo(username, password);
? ? req.getSession().setAttribute("isLogin", true);
? ? return "success";
}
4、sso-server創(chuàng)建授權(quán)令牌
授權(quán)令牌是一串隨機(jī)字符娜膘,以什么樣的方式生成都沒有關(guān)系逊脯,只要不重復(fù)、不易偽造即可竣贪,下面是一個(gè)例子军洼。
String token = UUID.randomUUID().toString();
5、sso-client取得令牌并校驗(yàn)
sso認(rèn)證中心登錄后演怎,跳轉(zhuǎn)回子系統(tǒng)并附上令牌歉眷,子系統(tǒng)(sso-client)取得令牌,然后去sso認(rèn)證中心校驗(yàn)颤枪,在LoginFilter.java的doFilter()中添加幾行。
// 請求附帶token參數(shù)
String token = req.getParameter("token");
if (token != null) {
? ? // 去sso認(rèn)證中心校驗(yàn)token
? ? boolean verifyResult = this.verify("sso-server-verify-url", token);
? ? if (!verifyResult) {
? ? ? ? res.sendRedirect("sso-server-url");
? ? ? ? return;
? ? }
? ? chain.doFilter(request, response);
}
verify()方法使用httpClient實(shí)現(xiàn)淑际,這里僅簡略介紹畏纲,httpClient詳細(xì)使用方法請參考官方文檔。
HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token");
HttpResponse httpResponse = httpClient.execute(httpPost);
6春缕、sso-server接收并處理校驗(yàn)令牌請求
用戶在sso認(rèn)證中心登錄成功后盗胀,sso-server創(chuàng)建授權(quán)令牌并存儲該令牌,所以锄贼,sso-server對令牌的校驗(yàn)就是去查找這個(gè)令牌是否存在以及是否過期票灰,令牌校驗(yàn)成功后sso-server將發(fā)送校驗(yàn)請求的系統(tǒng)注冊到sso認(rèn)證中心(就是存儲起來的意思)。
令牌與注冊系統(tǒng)地址通常存儲在key-value數(shù)據(jù)庫(如redis)中宅荤,redis可以為key設(shè)置有效時(shí)間也就是令牌的有效期屑迂。redis運(yùn)行在內(nèi)存中,速度非撤爰快惹盼,正好sso-server不需要持久化任何數(shù)據(jù)。
如果你也在學(xué)習(xí)Java惫确,在入門學(xué)習(xí)Java的過程當(dāng)中有遇見學(xué)習(xí)手报,行業(yè)方面的問題,或者說缺乏系統(tǒng)的學(xué)習(xí)路線和系統(tǒng)學(xué)習(xí)視頻改化,你可以加入我的Java學(xué)習(xí)交流群:830478757掩蛤,里面有我根據(jù)今年市場技術(shù)棧要求錄制的Java精講視頻教程,群文件里面有我這幾年整理的學(xué)習(xí)手冊陈肛,面試題揍鸟,開發(fā)工具,PDF文檔書籍句旱,你都可以自行去下載蜈亩。
令牌與注冊系統(tǒng)地址可以用下圖描述的結(jié)構(gòu)存儲在redis中懦窘,可能你會(huì)問,為什么要存儲這些系統(tǒng)的地址稚配?如果不存儲畅涂,注銷的時(shí)候就麻煩了,用戶向sso認(rèn)證中心提交注銷請求道川,sso認(rèn)證中心注銷全局會(huì)話午衰,但不知道哪些系統(tǒng)用此全局會(huì)話建立了自己的局部會(huì)話,也不知道要向哪些子系統(tǒng)發(fā)送注銷請求注銷局部會(huì)話冒萄。
7臊岸、sso-client校驗(yàn)令牌成功創(chuàng)建局部會(huì)話
令牌校驗(yàn)成功后,sso-client將當(dāng)前局部會(huì)話標(biāo)記為“已登錄”尊流,修改LoginFilter.java帅戒,添加幾行。
if (verifyResult) {
? ? session.setAttribute("isLogin", true);
}
sso-client還需將當(dāng)前會(huì)話id與令牌綁定崖技,表示這個(gè)會(huì)話的登錄狀態(tài)與令牌相關(guān)逻住,此關(guān)系可以用java的hashmap保存,保存的數(shù)據(jù)用來處理sso認(rèn)證中心發(fā)來的注銷請求迎献。
8瞎访、注銷過程
用戶向子系統(tǒng)發(fā)送帶有“l(fā)ogout”參數(shù)的請求(注銷請求),sso-client攔截器攔截該請求吁恍,向sso認(rèn)證中心發(fā)起注銷請求扒秸。
String logout = req.getParameter("logout");
if (logout != null) {
? ? this.ssoServer.logout(token);
}
sso認(rèn)證中心也用同樣的方式識別出sso-client的請求是注銷請求(帶有“l(fā)ogout”參數(shù)),sso認(rèn)證中心注銷全局會(huì)話冀瓦。
@RequestMapping("/logout")
public String logout(HttpServletRequest req) {
? ? HttpSession session = req.getSession();
? ? if (session != null) {
? ? ? ? session.invalidate();//觸發(fā)LogoutListener
? ? }
? ? return "redirect:/";
}
sso認(rèn)證中心有一個(gè)全局會(huì)話的監(jiān)聽器伴奥,一旦全局會(huì)話注銷,將通知所有注冊系統(tǒng)注銷翼闽。
public class LogoutListener implements HttpSessionListener {
? ? @Override
? ? public void sessionCreated(HttpSessionEvent event) {}
? ? @Override
? ? public void sessionDestroyed(HttpSessionEvent event) {
? ? ? ? //通過httpClient向所有注冊系統(tǒng)發(fā)送注銷請求
? ? }
}
