只有光头才能变强。
文本已收录至我的github仓库,欢迎star:https://github.com/zhongfucheng3y/3y
在我实习之前我就已经在看单点登录的是什么了,但是实习的时候一直在忙其他的事,所以有几个网站就一直躺在我的收藏夹里边:
在前阵子有个读者来我这投稿,是使用jwt实现单点登录的(但是文章中并没有介绍什么是单点登录),所以我觉得是时候来整理一下了。
单点登录的英文名叫做:single sign on(简称sso)。
在初学/以前的时候,一般我们就单系统,所有的功能都在同一个系统上。
后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。
比如阿里系的淘宝和天猫,很明显地我们可以知道这是两个系统,但是你在使用的时候,登录了天猫,淘宝也会自动登录。
简单来说,单点登录就是在多个系统中,用户只需一次登录,各个系统即可感知该用户已经登录。
在我初学javaweb的时候,登录和注册是我做得最多的一个功能了(初学servlet的时候做过、学springmvc的时候做过、跟着做项目的时候做过…),反正我也数不清我做了多少次登录和注册的功能了...这里简单讲述一下我们初学时是怎么做登录功能的。
众所周知,http是无状态的协议,这意味着服务器无法确认用户的信息。于是乎,w3c就提出了:给每一个用户都发一个通行证,无论谁访问的时候都需要携带通行证,这样服务器就可以从通行证上确认用户的信息。通行证就是cookie。
如果说cookie是检查用户身上的”通行证“来确认用户的身份,那么session就是通过检查服务器上的”客户明细表“来确认用户的身份的。session相当于在服务器中建立了一份“客户明细表”。
http协议是无状态的,session不能依据http连接来判断是否为同一个用户。于是乎:服务器向用户浏览器发送了一个名为jessionid的cookie,它的值是session的id值。其实session是依据cookie来识别是否是同一个用户。
所以,一般我们单系统实现登录会这样做:
我之前demo的代码,可以参考一下:
/** * 用户登陆 */ @postmapping(value = "/user/session", produces = {"application/json;charset=utf-8"}) public result login(string mobileno, string password, string inputcaptcha, httpsession session, httpservletresponse response) { //判断验证码是否正确 if (webutils.validatecaptcha(inputcaptcha, "captcha", session)) { //判断有没有该用户 user user = userservice.userlogin(mobileno, password); if (user != null) { /*设置自动登陆,一个星期. 将token保存在数据库中*/ string logintoken = webutils.md5(new date().tostring() + session.getid()); user.setlogintoken(logintoken); user user1 = userservice.userupload(user); session.setattribute("user", user1); cookieutil.addcookie(response,"logintoken",logintoken,604800); return resultutil.success(user1); } else { return resultutil.error(resultenum.login_error); } } else { return resultutil.error(resultenum.captcha_error); } } /** * 用户退出 */ @deletemapping(value = "/session", produces = {"application/json;charset=utf-8"}) public result logout(httpsession session,httpservletrequest request,httpservletresponse response ) { //删除session和cookie session.removeattribute("user"); cookieutil.clearcookie(request, response, "logintoken"); return resultutil.success(); } /** * @author ozc * @version 1.0 * <p> * 拦截器;实现自动登陆功能 */ public class userinterceptor implements handlerinterceptor { @autowired private userservice userservice; public boolean prehandle(httpservletrequest request, httpservletresponse response, object o) throws exception { user sessionuser = (user) request.getsession().getattribute("user"); // 已经登陆了,放行 if (sessionuser != null) { return true; } else { //得到带过来cookie是否存在 string logintoken = cookieutil.findcookiebyname(request, "logintoken"); if (stringutils.isnotblank(logintoken)) { //到数据库查询有没有该cookie user user = userservice.finduserbylogintoken(logintoken); if (user != null) { request.getsession().setattribute("user", user); return true; } else { //没有该cookie与之对应的用户(cookie不匹配) cookieutil.clearcookie(request, response, "logintoken"); return false; } } else { //没有cookie、也没有登陆。是index请求获取用户信息,可以放行 if (request.getrequesturi().contains("session")) { return true; } //没有cookie凭证 response.sendredirect("/login.html"); return false; } } } }
总结一下上面代码的思路:
如果没看懂的同学,建议回顾session和cookie和http:
单系统登录功能主要是用session保存用户信息来实现的,但我们清楚的是:多系统即可能有多个tomcat,而session是依赖当前系统的tomcat,所以系统a的session和系统b的session是不共享的。
解决系统之间session不共享问题有一下几种方案:
我们可以将登录功能单独抽取出来,做成一个子系统。
sso(登录系统)的逻辑如下:
// 登录功能(sso单独的服务) @override public taotaoresult login(string username, string password) throws exception { //根据用户名查询用户信息 tbuserexample example = new tbuserexample(); criteria criteria = example.createcriteria(); criteria.andusernameequalto(username); list<tbuser> list = usermapper.selectbyexample(example); if (null == list || list.isempty()) { return taotaoresult.build(400, "用户不存在"); } //核对密码 tbuser user = list.get(0); if (!digestutils.md5digestashex(password.getbytes()).equals(user.getpassword())) { return taotaoresult.build(400, "密码错误"); } //登录成功,把用户信息写入redis //生成一个用户token string token = uuid.randomuuid().tostring(); jediscluster.set(user_token_key + ":" + token, jsonutils.objecttojson(user)); //设置session过期时间 jediscluster.expire(user_token_key + ":" + token, session_expire_time); return taotaoresult.ok(token); }
其他子系统登录时,请求sso(登录系统)进行登录,将返回的token写到cookie中,下次访问时则把cookie带上:
public taotaoresult login(string username, string password, httpservletrequest request, httpservletresponse response) { //请求参数 map<string, string> param = new hashmap<>(); param.put("username", username); param.put("password", password); //登录处理 string stringresult = httpclientutil.dopost(register_user_url + user_login_url, param); taotaoresult result = taotaoresult.format(stringresult); //登录出错 if (result.getstatus() != 200) { return result; } //登录成功后把取token信息,并写入cookie string token = (string) result.getdata(); //写入cookie cookieutils.setcookie(request, response, "tt_token", token); //返回成功 return result; }
总结:
到这里,其实我们会发现其实就两个变化:
上面我们解决了session不能共享的问题,但其实还有另一个问题。cookie是不能跨域的
比如说,我们请求<https://www.google.com/>
时,浏览器会自动把google.com
的cookie带过去给google
的服务器,而不会把<https://www.baidu.com/>
的cookie带过去给google
的服务器。
这就意味着,由于域名不同,用户向系统a登录后,系统a返回给浏览器的cookie,用户再请求系统b的时候不会将系统a的cookie带过去。
针对cookie存在跨域问题,有几种解决方案:
到这里,我们已经可以实现单点登录了。
说到单点登录,就肯定会见到这个名词:cas (central authentication service),下面说说cas是怎么搞的。
如果已经将登录单独抽取成系统出来,我们还能这样玩。现在我们有两个系统,分别是www.java3y.com
和www.java4y.com
,一个ssowww.sso.com
首先,用户想要访问系统awww.java3y.com
受限的资源(比如说购物车功能,购物车功能需要登录后才能访问),系统awww.java3y.com
发现用户并没有登录,于是重定向到sso认证中心,并将自己的地址作为参数。请求的地址如下:
www.sso.com?service=www.java3y.com
sso认证中心发现用户未登录,将用户引导至登录页面,用户进行输入用户名和密码进行登录,用户与认证中心建立全局会话(生成一份token,写到cookie中,保存在浏览器上)
随后,认证中心重定向回系统a,并把token携带过去给系统a,重定向的地址如下:
www.java3y.com?token=xxxxxxx
接着,系统a去sso认证中心验证这个token是否正确,如果正确,则系统a和用户建立局部会话(创建session)。到此,系统a和用户已经是登录状态了。
此时,用户想要访问系统bwww.java4y.com
受限的资源(比如说订单功能,订单功能需要登录后才能访问),系统bwww.java4y.com
发现用户并没有登录,于是重定向到sso认证中心,并将自己的地址作为参数。请求的地址如下:
www.sso.com?service=www.java4y.com
注意,因为之前用户与认证中心www.sso.com
已经建立了全局会话(当时已经把cookie保存到浏览器上了),所以这次系统b重定向到认证中心www.sso.com
是可以带上cookie的。
认证中心根据带过来的cookie发现已经与用户建立了全局会话了,认证中心重定向回系统b,并把token携带过去给系统b,重定向的地址如下:
www.java4y.com?token=xxxxxxx
接着,系统b去sso认证中心验证这个token是否正确,如果正确,则系统b和用户建立局部会话(创建session)。到此,系统b和用户已经是登录状态了。
看到这里,其实sso认证中心就类似一个中转站。
参考资料:
乐于输出干货的java技术公众号:java3y。公众号内有200多篇原创技术文章、海量视频资源、精美脑图,关注即可获取!
觉得我的文章写得不错,点赞!
如对本文有疑问, 点击进行留言回复!!
ScrollView和RecyclerView的滑动事件处理
配置JAVA环境+安装Android Studio全过程+踩坑记录
Android P Camera2当SD卡被拔出来自动切换到内部存储
android 多个edittext 判空监听 让Button动态是否可点击
Android开源项目滚轮选择器WheelPicker的基本用法总结
网友评论