web應用采用/架構,http作為通信協議。http是無狀態協議����,瀏覽器的每一次請求�����,服務器會獨立處理,不與之前或之后的請求產生關聯,這個過程用下圖說明����,三次請求/響應對之間沒有任何聯系
但這也同時意味著��,任何用戶都能通過瀏覽器訪問服務器資源,如果想保護服務器的某些資源,必須限制瀏覽器請求�;要限制瀏覽器請求單點登錄原理����,必須鑒別瀏覽器請求,響應合法請求�,忽略非法請求���;要鑒別瀏覽器請求��,必須清楚瀏覽器請求狀態��。既然http協議無狀態,那就讓服務器和瀏覽器共同維護一個狀態吧!這就是會話機制
2����、會話機制
瀏覽器第一次請求服務器��,服務器創建一個會話,并將會話的id作為響應的一部分發送給瀏覽器,瀏覽器存儲會話id�,并在后續第二次和第三次請求中帶上會話id��,服務器取得請求中的會話id就知道是不是同一個用戶了,這個過程用下圖說明,后續請求與第一次請求產生了關聯
服務器在內存中保存會話對象���,瀏覽器怎么保存會話id呢?你可能會想到兩種方式
請求參數
將會話id作為每一個請求的參數,服務器接收請求自然能解析參數獲得會話id��,并借此判斷是否來自同一會話��,很明顯����,這種方式不靠譜��。那就瀏覽器自己來維護這個會話id吧���,每次發送http請求時瀏覽器自動發送會話id�,機制正好用來做這件事�����。
是瀏覽器用來存儲少量數據的一種機制,數據以”key/value“形式存儲��,瀏覽器發送http請求時自動附帶信息
會話機制當然也實現了��,訪問服務器時����,瀏覽器中可以看到一個名為“”的����,這就是會話機制維護的會話id,使用了的請求響應過程如下圖
3���、登錄狀態
有了會話機制,登錄狀態就好明白了�����,我們假設瀏覽器第一次請求服務器需要輸入用戶名與密碼驗證身份���,服務器拿到用戶名密碼去數據庫比對��,正確的話說明當前持有這個會話的用戶是合法用戶�,應該將這個會話標記為“已授權”或者“已登錄”等等之類的狀態�����,既然是會話的狀態��,自然要保存在會話對象中,在會話對象中設置登錄狀態如下
HttpSession session = request.getSession();
session.setAttribute("isLogin", true);
用戶再次訪問時���,在會話對象中查看登錄狀態
HttpSession session = request.getSession();
session.getAttribute("isLogin");
實現了登錄狀態的瀏覽器請求服務器模型如下圖描述
每次請求受保護資源時都會檢查會話對象中的登錄狀態�����,只有 =true 的會話才能訪問��,登錄機制因此而實現。
二�����、多系統的復雜性
web系統早已從久遠的單系統發展成為如今由多系統組成的應用群�����,面對如此眾多的系統�,用戶難道要一個一個登錄、然后一個一個注銷嗎���?就像下圖描述的這樣
web系統由單系統發展成多系統組成的應用群,復雜性應該由系統內部承擔����,而不是用戶���。無論web系統內部多么復雜���,對用戶而言���,都是一個統一的整體��,也就是說,用戶訪問web系統的整個應用群與訪問單個系統一樣���,登錄/注銷只要一次就夠了
雖然單系統的登錄解決方案很完美��,但對于多系統應用群已經不再適用了����,為什么呢����?
單系統登錄解決方案的核心是,攜帶會話id在瀏覽器與服務器之間維護會話狀態。但是有限制的,這個限制就是的域(通常對應網站的域名)�����,瀏覽器發送http請求時會自動攜帶與該域匹配的�,而不是所有
既然這樣,為什么不將web應用群中所有子系統的域名統一在一個頂級域名下,例如“*.”����,然后將它們的域設置為“”��,這種做法理論上是可以的,甚至早期很多多系統登錄就采用這種同域名共享的方式。
然而���,可行并不代表好,共享的方式存在眾多局限。首先,應用群域名得統一;其次,應用群各系統使用的技術(至少是web服務器)要相同����,不然的key值(為)不同��,無法維持會話,共享的方式是無法實現跨語言技術平臺登錄的�����,比如java�、php�、.net系統之間;第三�,本身不安全�。
因此�,我們需要一種全新的登錄方式來實現多系統應用群的登錄,這就是單點登錄
三����、單點登錄
什么是單點登錄�?單點登錄全稱 Sign On(以下簡稱SSO)�����,是指在多系統應用群中登錄一個系統����,便可在其他所有系統中得到授權而無需再次登錄����,包括單點登錄與單點注銷兩部分
1、登錄
相比于單系統登錄��,sso需要一個獨立的認證中心���,只有認證中心能接受用戶的用戶名密碼等安全信息,其他系統不提供登錄入口���,只接受認證中心的間接授權。
間接授權通過令牌實現��,sso認證中心驗證用戶的用戶名密碼沒問題����,創建授權令牌,在接下來的跳轉過程中,授權令牌作為參數發送給各個子系統���,子系統拿到令牌,即得到了授權,可以借此創建局部會話,局部會話登錄方式與單系統的登錄方式相同。這個過程���,也就是單點登錄的原理��,用下圖說明
下面對上圖簡要描述
用戶訪問系統1的受保護資源����,系統1發現用戶未登錄�����,跳轉至sso認證中心�����,并將自己的地址作為參數
sso認證中心發現用戶未登錄,將用戶引導至登錄頁面
用戶輸入用戶名密碼提交登錄申請
sso認證中心校驗用戶信息����,創建用戶與sso認證中心之間的會話���,稱為全局會話����,同時創建授權令牌
sso認證中心帶著令牌跳轉會最初的請求地址(系統1)
系統1拿到令牌�,去sso認證中心校驗令牌是否有效
sso認證中心校驗令牌,返回有效�,注冊系統1
系統1使用該令牌創建與用戶的會話�,稱為局部會話����,返回受保護資源
用戶訪問系統2的受保護資源
系統2發現用戶未登錄,跳轉至sso認證中心�,并將自己的地址作為參數
sso認證中心發現用戶已登錄��,跳轉回系統2的地址����,并附上令牌
系統2拿到令牌,去sso認證中心校驗令牌是否有效
sso認證中心校驗令牌,返回有效,注冊系統2
系統2使用該令牌創建與用戶的局部會話�����,返回受保護資源
用戶登錄成功之后�,會與sso認證中心及各個子系統建立會話,用戶與sso認證中心建立的會話稱為全局會話,用戶與各個子系統建立的會話稱為局部會話����,局部會話建立之后����,用戶訪問子系統受保護資源將不再通過sso認證中心�,全局會話與局部會話有如下約束關系
局部會話存在,全局會話一定存在
全局會話存在,局部會話不一定存在
全局會話銷毀,局部會話必須銷毀
你可以通過博客園、百度���、csdn、淘寶等網站的登錄過程加深對單點登錄的理解,注意觀察登錄過程中的跳轉url與參數
2�����、注銷
單點登錄自然也要單點注銷���,在一個子系統中注銷����,所有子系統的會話都將被銷毀�,用下面的圖來說明
so認證中心一直監聽全局會話的狀態�����,一旦全局會話銷毀,監聽器將通知所有注冊系統執行注銷操作
下面對上圖簡要說明
用戶向系統1發起注銷請求
系統1根據用戶與系統1建立的會話id拿到令牌,向sso認證中心發起注銷請求
sso認證中心校驗令牌有效�,銷毀全局會話���,同時取出所有用此令牌注冊的系統地址
sso認證中心向所有注冊系統發起注銷請求
各注冊系統接收sso認證中心的注銷請求�,銷毀局部會話
sso認證中心引導用戶至登錄頁面
四��、部署圖
單點登錄涉及sso認證中心與眾子系統�����,子系統與sso認證中心需要通信以交換令牌、校驗令牌及發起注銷請求,因而子系統必須集成sso的客戶端���,sso認證中心則是sso服務端,整個單點登錄過程實質是sso客戶端與服務端通信的過程,用下圖描述
sso認證中心與sso客戶端通信方式有多種,這里以簡單好用的為例�,web �����、rpc、 api都可以
五、實現
只是簡要介紹下基于java的實現過程�,不提供完整源碼����,明白了原理����,我相信你們可以自己實現。sso采用客戶端/服務端架構,我們先看sso-與sso-要實現的功能(下面:sso認證中心=sso-)
sso-
攔截子系統未登錄用戶請求,跳轉至sso認證中心
接收并存儲sso認證中心發送的令牌
與sso-通信�����,校驗令牌的有效性
建立局部會話
攔截用戶注銷請求�,向sso認證中心發送注銷請求
接收sso認證中心發出的注銷請求,銷毀局部會話
sso-
驗證用戶的登錄信息
創建全局會話
創建授權令牌
與sso-通信發送令牌
校驗sso-令牌有效性
系統注冊
接收sso-注銷請求,注銷所有會話
接下來�����,我們按照原理來一步步實現sso吧�!
1��、sso-攔截未登錄請求
java攔截請求的方式有�����、、三種方式��,我們采用��。在sso-中新建.java類并實現接口����,在()方法中加入對未登錄用戶的攔截
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
? ?HttpServletRequest req = (HttpServletRequest) request;
? ?HttpServletResponse res = (HttpServletResponse) response;
? ?HttpSession session = req.getSession();
? ?
? ?if (session.getAttribute("isLogin")) {
? ? ? ?chain.doFilter(request, response);
? ? ? ?return;
? ?}
? ?//跳轉至sso認證中心
? ?res.sendRedirect("sso-server-url-with-system-url");
}
2���、sso-攔截未登錄請求
攔截從sso-跳轉至sso認證中心的未登錄請求��,跳轉至登錄頁面�,這個過程與sso-完全一樣
3�、sso-驗證用戶登錄信息
用戶在登錄頁面輸入用戶名密碼,請求登錄���,sso認證中心校驗用戶信息,校驗成功��,將會話狀態標記為“已登錄”
@RequestMapping("/login")
public String login(String username, String password, HttpServletRequest req) {
? ?this.checkLoginInfo(username, password);
? ?req.getSession().setAttribute("isLogin", true);
? ?return "success";
}
4����、sso-創建授權令牌
授權令牌是一串隨機字符,以什么樣的方式生成都沒有關系����,只要不重復���、不易偽造即可���,下面是一個例子
String token = UUID.randomUUID().toString();
5�、sso-取得令牌并校驗
sso認證中心登錄后����,跳轉回子系統并附上令牌,子系統(sso-)取得令牌���,然后去sso認證中心校驗單點登錄原理,在.java的()中添加幾行
// 請求附帶token參數
String token = req.getParameter("token");
if (token != null) {
? ?// 去sso認證中心校驗token
? ?boolean verifyResult = this.verify("sso-server-verify-url", token);
? ?if (!verifyResult) {
? ? ? ?res.sendRedirect("sso-server-url");
? ? ? ?return;
? ?}
? ?chain.doFilter(request, response);
}
()方法使用實現�����,這里僅簡略介紹����,詳細使用方法請參考官方文檔
HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token");
HttpResponse httpResponse = httpClient.execute(httpPost);
6、sso-接收并處理校驗令牌請求
用戶在sso認證中心登錄成功后���,sso-創建授權令牌并存儲該令牌,所以��,sso-對令牌的校驗就是去查找這個令牌是否存在以及是否過期�����,令牌校驗成功后sso-將發送校驗請求的系統注冊到sso認證中心(就是存儲起來的意思)
令牌與注冊系統地址通常存儲在key-value數據庫(如redis)中����,redis可以為key設置有效時間也就是令牌的有效期�����。redis運行在內存中,速度非常快,正好sso-不需要持久化任何數據。
令牌與注冊系統地址可以用下圖描述的結構存儲在redis中�,可能你會問�,為什么要存儲這些系統的地址�?
如果不存儲,注銷的時候就麻煩了,用戶向sso認證中心提交注銷請求�,sso認證中心注銷全局會話�����,但不知道哪些系統用此全局會話建立了自己的局部會話,也不知道要向哪些子系統發送注銷請求注銷局部會話
7��、sso-校驗令牌成功創建局部會話
令牌校驗成功后���,sso-將當前局部會話標記為“已登錄”�,修改.java,添加幾行
if (verifyResult) {
? ?session.setAttribute("isLogin", true);
}
sso-還需將當前會話id與令牌綁定,表示這個會話的登錄狀態與令牌相關���,此關系可以用java的保存,保存的數據用來處理sso認證中心發來的注銷請求
8、注銷過程
用戶向子系統發送帶有“”參數的請求(注銷請求)���,sso-攔截器攔截該請求,向sso認證中心發起注銷請求
String logout = req.getParameter("logout");
if (logout != null) {
? ?this.ssoServer.logout(token);
}
sso認證中心也用同樣的方式識別出sso-的請求是注銷請求(帶有“”參數),sso認證中心注銷全局會話
@RequestMapping("/logout")
public String logout(HttpServletRequest req) {
? ?HttpSession session = req.getSession();
? ?if (session != null) {
? ? ? ?session.invalidate();//觸發LogoutListener
? ?}
? ?return "redirect:/";
}
sso認證中心有一個全局會話的監聽器��,一旦全局會話注銷�����,將通知所有注冊系統注銷
public class LogoutListener implements HttpSessionListener {
? ?@Override
? ?public void sessionCreated(HttpSessionEvent event) {}
? ?@Override
? ?public void sessionDestroyed(HttpSessionEvent event) {
? ? ? ?//通過httpClient向所有注冊系統發送注銷請求
? ?}
}
地址:
文章有幫助的話����,在看��,轉發吧。
謝謝支持喲 (*^__^*)
