JEECG 集成KiSSO單點登陸實現統一身份認證

JEECG 集成KiSSO單點登陸實現統一身份認證

JEECG 如何爲其餘第三方系統實現統一身份認證服務，實現單點登陸？

第三方系統如何對接呢？

今天爲你們揭開這層面紗，讓你們瞭解實質，使用它更快速的構建你們須要的業務

1、KISSO單點登陸介紹

          kisso 採用的是加密會話 cookie 機制實現單點登陸 SSO 服務，具有「無狀態」、「分散驗 證」 等特性。
         一、session 存放在服務器端，cookie 存放在客戶端，存在 2 種狀態：「 第一種：持久 cookie 具備時效性，以文件的形式存放在客戶機硬盤中， 時間一到生命週期結束自動被刪除。第二種：臨時 cookie 又叫會話 cookie 放在瀏覽器 內存中，瀏覽器關閉生命週期結束自動失效 」。
          二、單純不作任何改變而言 session 更安全，若是 cookie 採起各類安全保護措施，此時的 cookie 同樣安全。
          三、cookie 輕鬆實現分佈式服務部署，單點登陸跨域訪問等問題，換成 session 須要處理 session 複製及各類問題實現困難。

2、JEECG集成KiSSO實現統一身份認證服務

          JEECG系統做爲服務端，實現統一身份認證服務，爲其餘第三方系統提供統一登陸入口，共享用戶資源，實現同一個用戶名和密碼登陸多個系統。
          那JEECG如何實現的服務呢？下面切入正題。  
一、服務端集成KISSO
              (1) JEECG 工程 Maven依賴相關的jar

<!-- kisso begin -->
<dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>kisso</artifactId>
      <version>3.6.11</version>
</dependency>
<dependency>
       <groupId>com.alibaba</groupId>
       <artifactId>fastjson</artifactId>
       <version>1.2.15</version>
</dependency>
<!-- kisso end -->

 

       （2）服務端項目配置文件。kisso啓動配置有兩種配置方式：spring方式初始化、Servlet方式初始化。根據不一樣的工程結構選擇合適的配置方式，JEECG使用的是springMVC框架，我這裏選擇使用spring方式初始化方式。
           下面兩種初始化方式以下：
            第一種：spring方式初始化方式

<bean id="kissoInit" class="com.baomidou.kisso.web.WebKissoConfigurer" init-method="initKisso">
            <property name="ssoPropPath" value="sso.properties" />
            <!-- 不一樣環境配置選擇設置 ,dev_mode/開發模式 ,test_mode/測試模式 ,online_mode/生產模式-->
            <property name="runMode" value="test_mode" />
</bean>

 

       第二種：Servlet方式初始化

<context-param>
         <param-name>kissoConfigLocation</param-name>
         <!-- SSO 屬性文件地址根據實際項目配置 -->
         <param-value>classpath:sso.properties</param-value>
</context-param>
<listener>
         <listener-class>com.baomidou.kisso.web.KissoConfigListener</listener-class>
</listener>

    這兩種方式，都會加載一個屬性配置文件sso.properties該文件放到classpath下

    sso.properties 配置文件內容：

1. <blockquote>#單點登陸信息加密密鑰

複製代碼

        至此，服務端集成完成，sso.properties 須要注意的是：sso.secretkey單點登陸信息加密密鑰，此祕鑰在登陸完成後會把用戶的信息經過此祕鑰進行加密，保存到cookie中，爲了安全不要泄露此密鑰；sso.cookie.domain是單點登陸域名配置，配置一級域名。JEECG服務端系統和第三方對接的客戶端系統須要在同一個域名下，跨域的問題暫不考慮。

        本地調試時服務的訪問必定要使用域名，系統host配置域名test.com便可。

二、JEECG統一身份認證服務代碼實現原理

       JEECG系統集成配置完成，那麼怎麼實現的統一登陸服務呢？
       JEECG系統原有的登陸時不能給第三方系統提供統一登陸服務，爲了避免印象原有的系統業務，咱們須要另外實現一個登陸入口代碼以下：（http://sso.test.com:8080/jeecg/toLogin.do）

/**
* 單點登陸
* @author zhoujf
* 
*/
@Controller
@RequestMapping("/")
public class SSOController extends BaseController{
        private Logger log = Logger.getLogger(SSOController.class);
        
        
        @RequestMapping(value = "toLogin")
        public String toLogin(HttpServletRequest request) {
                String returnURL = request.getParameter("ReturnURL");
                log.info("SSO 資源路徑returnURL："+returnURL);
                request.setAttribute("ReturnURL", returnURL);
                return "login/login";
        }
        
        
}

 

    第三方客戶端集成KISSO後若是嚴重沒有登陸，則會跳轉到這個地址進行登陸，在跳轉這個地址時會帶一個參數ReturnURL,該參數是第三方系統當時訪問的請求地址，JEECG服務端登陸後會再回跳到這個地址。以上代碼段在進入登陸頁面後把回跳地址帶入登陸頁面，以便登陸後回跳該地址
    那麼服務端，登陸回跳怎麼實現的呢？下面在登陸邏輯中增長以下代碼便可實現：

//-----------------------單點登陸-------------------------------------------------
                        /*
                         * 單點登陸 - 登陸須要跳轉登陸前頁面，本身處理 ReturnURL 使用 
                         * HttpUtil.decodeURL(xx) 解碼後重定向
                         */
                        String returnURL = (String)request.getSession().getAttribute("ReturnURL");
                        log.info("login 資源路徑returnURL："+returnURL);
                        if(StringUtils.isNotEmpty(returnURL)){
                                SSOToken st = new SSOToken(request);
                                st.setId(UUID.randomUUID().getMostSignificantBits());
                                st.setUid(user.getUserName());
                                st.setType(1);
                                //request.setAttribute(SSOConfig.SSO_COOKIE_MAXAGE, maxAge);
                                // 能夠動態設置 Cookie maxAge 超時時間 ，優先於配置文件的設置，無該參數 - 默認讀取配置文件數據 。
                                //  maxAge 定義：-1 瀏覽器關閉時自動刪除 0 當即刪除 120 表示Cookie有效期2分鐘(以秒爲單位)
                                //request.setAttribute(SSOConfig.SSO_COOKIE_MAXAGE, 60);
                                SSOHelper.setSSOCookie(request, response, st, true);
                                returnURL = HttpUtil.decodeURL(returnURL);
                                log.info("login 資源路徑returnURL："+returnURL);
                                request.getSession().removeAttribute("ReturnURL");
                                try {
                                        response.sendRedirect(returnURL);
                                } catch (IOException e) {
                                        e.printStackTrace();
                                }
                                return null;
                        }
                        //------------------------單點登陸----------------------------------------------

 

    以上服務端統一登陸服務就完成了！！！！

3、第三方系統對接JEECG統一認證服務

     一、第三方系統KISSO集成

       (1) 客戶端 工程 Maven依賴相關的jar

<!-- kisso begin -->
<dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>kisso</artifactId>
      <version>3.6.11</version>
</dependency>
<dependency>
       <groupId>com.alibaba</groupId>
       <artifactId>fastjson</artifactId>
       <version>1.2.15</version>
</dependency>
<!-- kisso end -->

 

（2）第三方項目配置文件。kisso初始化以及登陸驗證攔截器配置有兩種配置方式：spring方式初始化、Servlet方式初始化。根據不一樣的工程結構選擇合適的配置方式，我這裏第三方系統使用的也是springMVC框架，選擇使用spring方式初始化方式。

           下面兩種初始化方式以下：

            第一種：spring方式初始化方式

<bean id="kissoInit" class="com.baomidou.kisso.web.WebKissoConfigurer" init-method="initKisso">
            <property name="ssoPropPath" value="sso.properties" />
            <!-- 不一樣環境配置選擇設置 ,dev_mode/開發模式 ,test_mode/測試模式 ,online_mode/生產模式-->
            <property name="runMode" value="test_mode" />
</bean>

<mvc:interceptors>
<!-- SSO 登陸驗證攔截器 path 對全部的請求攔截使用/**，對某個模塊下的請求攔截使用：/myPath/* -->
<mvc:interceptor>
<mvc:mapping path="/**" />
<bean class="com.baomidou.kisso.web.interceptor.SSOSpringInterceptor" />
</mvc:interceptor>
<!-- SSO 系統權限攔截器 TODO 須要本身實現攔截器來控制權限處理（菜單權限，功能權限控制） -->

</mvc:interceptors>

 

   第二種：Servlet方式初始化

<context-param>
         <param-name>kissoConfigLocation</param-name>
         <!-- SSO 屬性文件地址根據實際項目配置 -->
         <param-value>classpath:sso.properties</param-value>
</context-param>
<listener>
         <listener-class>com.baomidou.kisso.web.KissoConfigListener</listener-class>
</listener>

<!-- SSOFilter use . -->
<filter>
       <filter-name>SSOFilter</filter-name>
       <filter-class>com.baomidou.kisso.web.filter.SSOFilter</filter-class>
       <init-param>
       <param-name>over.url</param-name>
       <!-- 不攔截的請求配置在這裏 -->
       <param-value>/index.jsp</param-value>
       </init-param>
</filter>
<filter-mapping>
       <filter-name>SSOFilter</filter-name>
       <url-pattern>/*</url-pattern>
</filter-mapping>

 

    這兩種方式，都會加載一個屬性配置文件sso.properties該文件放到classpath下

    sso.properties 配置文件內容：

#單點登陸信息加密密鑰
sso.secretkey=Kisso4springMvc80mAS
#cookie名稱
sso.cookie.name=uid
#cookie單點服務器登陸域名（本地測試須要host配置域名test.com，不能使用ip）
sso.cookie.domain=.test.com
#服務端登陸地址
sso.login.url=http://sso.test.com:8080/jeecg/toLogin.do

 

    sso.properties 須要注意的是：sso.secretkey單點登陸信息加密密鑰，和服務端配置保持一致；
    sso.cookie.domain是單點登陸域名配置，配置一級域名。和服務端配置保持一致；跨域的問題暫不考慮。
    sso.login.url   是服務端實現的統一登陸服務入口地址
    本地調試時服務的訪問必定要使用域名，系統host配置域名test.com便可。

    以上 第三方系統對接統一認證服務完成！！

二、測試驗證方法

（1）啓動JEECG服務端項目

（2）啓動第三方系統

（3）找一個第三方系統的請求測試

    例如：http://sso.test.com/jeecg-p3-web/system/back.do?index

    請求後，未登陸的狀況下，跳轉到JEECG統一認證系統進行登陸，地址以下：
http://sso.test.com:8080/jeecg/toLogin.do?ReturnURL=http%253A%252F%252Fsso.test.com%252Fjeecg-p3-web%252Fsystem%252Fback.do%253Findex

 

    登陸以後，回跳到地址 http://sso.test.com/jeecg-p3-web/system/back.do?index