閱讀之單點登陸

單點登陸

1、     單點登陸機制

一、http無狀態協議

web應用採用browser/server架構，http做爲通訊協議。http是無狀態協議，瀏覽器的每一次請求，服務器會獨立處理，不與以前或以後的請求產生關聯，這個過程用下圖說明，三次請求/響應對之間沒有任何聯繫。

二、會話機制

瀏覽器第一次請求服務器，服務器建立一個會話，並將會話的id做爲響應的一部分發送給瀏覽器，瀏覽器存儲會話id，並在後續第二次和第三次請求中帶上會話id，服務器取得請求中的會話id就知道是否是同一個用戶了，這個過程用下圖說明，後續請求與第一次請求產生了關聯。

服務器在內存中保存會話對象，瀏覽器怎麼保存會話id兩種方式。

1.請求參數

2.cookie

將會話id做爲每個請求的參數，服務器接收請求天然能解析參數得到會話id，並藉此判斷是否來自同一會話，很明顯，這種方式不靠譜。那就瀏覽器本身來維護這個會話id吧，每次發送http請求時瀏覽器自動發送會話id，cookie機制正好用來作這件事。cookie是瀏覽器用來存儲少許數據的一種機制，數據以」key/value「形式存儲，瀏覽器發送http請求時自動附帶cookie信息。

tomcat會話機制固然也實現了cookie，訪問tomcat服務器時，瀏覽器中能夠看到一個名爲「JSESSIONID」的cookie，這就是tomcat會話機制維護的會話id，使用了cookie的請求響應過程以下圖。

 

三、登陸狀態

tomcat在會話對象中設置登陸狀態以下。

HttpSession session= request.getSession();

session.setAttribute("isLogin", true);

用戶再次訪問時，tomcat在會話對象中查看登陸狀態

HttpSession session = request.getSession();

session.getAttribute("isLogin");

2、     多系統實現單點登陸

單點登陸全稱Single Sign On（如下簡稱SSO），是指在多系統應用羣中登陸一個系統，即可在其餘全部系統中獲得受權而無需再次登陸，包括單點登陸與單點註銷兩部分。

相比於單系統登陸，sso須要一個獨立的認證中心，只有認證中心能接受用戶的用戶名密碼等安全信息，其餘系統不提供登陸入口，只接受認證中心的間接受權。間接受權經過令牌實現，sso認證中心驗證用戶的用戶名密碼沒問題，建立受權令牌，在接下來的跳轉過程當中，受權令牌做爲參數發送給各個子系統，子系統拿到令牌，即獲得了受權，能夠藉此建立局部會話，局部會話登陸方式與單系統的登陸方式相同。這個過程，也就是單點登陸的原理，用下圖說明。

 

1.用戶訪問系統1的受保護資源，系統1發現用戶未登陸，跳轉至sso認證中心，並將本身的地址做爲參數；

2.sso認證中心發現用戶未登陸，將用戶引導至登陸頁面；

用戶輸入用戶名密碼提交登陸申請；

3.sso認證中心校驗用戶信息，建立用戶與sso認證中心之間的會話，稱爲全局會話，同時建立受權令牌；

4.sso認證中心帶着令牌跳轉會最初的請求地址（系統1）；

5.系統1拿到令牌，去sso認證中心校驗令牌是否有效；

6.sso認證中心校驗令牌，返回有效，註冊系統1；

7.系統1使用該令牌建立與用戶的會話，稱爲局部會話，返回受保護資源；

8.用戶訪問系統2的受保護資源；

9.系統2發現用戶未登陸，跳轉至sso認證中心，並將本身的地址做爲參數；

10.sso認證中心發現用戶已登陸，跳轉回系統2的地址，並附上令牌；

11.系統2拿到令牌，去sso認證中心校驗令牌是否有效；

12.sso認證中心校驗令牌，返回有效，註冊系統2；

13.系統2使用該令牌建立與用戶的局部會話，返回受保護資源。

用戶登陸成功以後，會與sso認證中心及各個子系統創建會話，用戶與sso認證中心創建的會話稱爲全局會話，用戶與各個子系統創建的會話稱爲局部會話，局部會話創建以後，用戶訪問子系統受保護資源將再也不經過sso認證中心，全局會話與局部會話有以下約束關係。

1.局部會話存在，全局會話必定存在；

2.全局會話存在，局部會話不必定存在；

3.全局會話銷燬，局部會話必須銷燬。

3、java實現

sso採用客戶端/服務端架構

sso-client

攔截子系統未登陸用戶請求，跳轉至sso認證中心；

接收並存儲sso認證中心發送的令牌；

與sso-server通訊，校驗令牌的有效性；

創建局部會話；

攔截用戶註銷請求，向sso認證中心發送註銷請求；

接收sso認證中心發出的註銷請求，銷燬局部會話。

sso-server

驗證用戶的登陸信息；

建立全局會話；

建立受權令牌；

與sso-client通訊發送令牌；

校驗sso-client令牌有效性；

系統註冊；

接收sso-client註銷請求，註銷全部會話。

一、sso-client攔截未登陸請求

Java攔截請求的方式有servlet、filter、listener三種方式，咱們採用filter。在sso-client中新建LoginFilter.java類並實現Filter接口，在doFilter()方法中加入對未登陸用戶的攔截。

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {    HttpServletRequest req = (HttpServletRequest) request;    HttpServletResponse res = (HttpServletResponse) response;    HttpSession session = req.getSession();         if (session.getAttribute("isLogin")) {        chain.doFilter(request, response);        return;    }    //跳轉至sso認證中心    res.sendRedirect("sso-server-url-with-system-url");}

 

二、sso-server攔截未登陸請求

 

攔截從sso-client跳轉至sso認證中心的未登陸請求，跳轉至登陸頁面，這個過程與sso-client徹底同樣。

三、sso-server驗證用戶登陸信息

用戶在登陸頁面輸入用戶名密碼，請求登陸，sso認證中心校驗用戶信息，校驗成功，將會話狀態標記爲「已登陸」。

@RequestMapping("/login")public String login(String username, String password, HttpServletRequest req) {    this.checkLoginInfo(username, password);    req.getSession().setAttribute("isLogin", true);    return "success";}

四、sso-server建立受權令牌

受權令牌是一串隨機字符，以什麼樣的方式生成都沒有關係，只要不重複、不易僞造便可，下面是一個例子。

String token = UUID.randomUUID().toString();

五、sso-client取得令牌並校驗

sso認證中心登陸後，跳轉回子系統並附上令牌，子系統（sso-client）取得令牌，而後去sso認證中心校驗，在LoginFilter.java的doFilter()中添加幾行。

// 請求附帶token參數String token = req.getParameter("token");if (token != null) {    // 去sso認證中心校驗token    boolean verifyResult = this.verify("sso-server-verify-url", token);    if (!verifyResult) {        res.sendRedirect("sso-server-url");        return;    }    chain.doFilter(request, response);}

verify()方法使用httpClient實現，這裏僅簡略介紹，httpClient詳細使用方法請參考官方文檔。

 

HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token");HttpResponse httpResponse = httpClient.execute(httpPost);

 

六、sso-server接收並處理校驗令牌請求

 

用戶在sso認證中心登陸成功後，sso-server建立受權令牌並存儲該令牌，因此，sso-server對令牌的校驗就是去查找這個令牌是否存在以及是否過時，令牌校驗成功後sso-server將發送校驗請求的系統註冊到sso認證中心（就是存儲起來的意思）。

 

令牌與註冊系統地址一般存儲在key-value數據庫（如redis）中，redis能夠爲key設置有效時間也就是令牌的有效期。redis運行在內存中，速度很是快，正好sso-server不須要持久化任何數據。

 

七、sso-client校驗令牌成功建立局部會話

令牌校驗成功後，sso-client將當前局部會話標記爲「已登陸」，修改LoginFilter.java，添加幾行。

if (verifyResult) {    session.setAttribute("isLogin", true);}

sso-client還需將當前會話id與令牌綁定，表示這個會話的登陸狀態與令牌相關，此關係能夠用java的hashmap保存，保存的數據用來處理sso認證中心發來的註銷請求。

 

八、註銷過程

用戶向子系統發送帶有「logout」參數的請求（註銷請求），sso-client攔截器攔截該請求，向sso認證中心發起註銷請求。

String logout = req.getParameter("logout");if (logout != null) {    this.ssoServer.logout(token);}

 

sso認證中心也用一樣的方式識別出sso-client的請求是註銷請求（帶有「logout」參數），sso認證中心註銷全局會話。

@RequestMapping("/logout")public String logout(HttpServletRequest req) {    HttpSession session = req.getSession();    if (session != null) {        session.invalidate();//觸發LogoutListener    }    return "redirect:/";}

 

sso認證中心有一個全局會話的監聽器，一旦全局會話註銷，將通知全部註冊系統註銷。

public class LogoutListener implements HttpSessionListener {    @Override    public void sessionCreated(HttpSessionEvent event) {}    @Override    public void sessionDestroyed(HttpSessionEvent event) {        //經過httpClient向全部註冊系統發送註銷請求    }}