一����、單系統(tǒng)登錄機制 1、http無狀態(tài)協(xié)議
web應(yīng)用采用/架構(gòu)���,http作為通信協(xié)議。http是無狀態(tài)協(xié)議���,瀏覽器的每一次請求,服務(wù)器會獨立處理���,不與之前或之后的請求產(chǎn)生關(guān)聯(lián),這個過程用下圖說明��,三次請求/響應(yīng)對之間沒有任何聯(lián)系
但這也同時意味著�,任何用戶都能通過瀏覽器訪問服務(wù)器資源����,如果想保護服務(wù)器的某些資源,必須限制瀏覽器請求����;要限制瀏覽器請求�����,必須鑒別瀏覽器請求,響應(yīng)合法請求,忽略非法請求;要鑒別瀏覽器請求,必須清楚瀏覽器請求狀態(tài)。既然http協(xié)議無狀態(tài),那就讓服務(wù)器和瀏覽器共同維護一個狀態(tài)吧�����!這就是會話機制
2�����、會話機制
瀏覽器第一次請求服務(wù)器��,服務(wù)器創(chuàng)建一個會話,并將會話的id作為響應(yīng)的一部分發(fā)送給瀏覽器,瀏覽器存儲會話id���,并在后續(xù)第二次和第三次請求中帶上會話id,服務(wù)器取得請求中的會話id就知道是不是同一個用戶了�����,這個過程用下圖說明�,后續(xù)請求與第一次請求產(chǎn)生了關(guān)聯(lián)
服務(wù)器在內(nèi)存中保存會話對象,瀏覽器怎么保存會話id呢?你可能會想到兩種方式
請求參數(shù)
將會話id作為每一個請求的參數(shù),服務(wù)器接收請求自然能解析參數(shù)獲得會話id�����,并借此判斷是否來自同一會話��,很明顯,這種方式不靠譜���。那就瀏覽器自己來維護這個會話id吧,每次發(fā)送http請求時瀏覽器自動發(fā)送會話id���,機制正好用來做這件事。是瀏覽器用來存儲少量數(shù)據(jù)的一種機制���,數(shù)據(jù)以”key/value“形式存儲,瀏覽器發(fā)送http請求時自動附帶信息
會話機制當然也實現(xiàn)了���,訪問服務(wù)器時,瀏覽器中可以看到一個名為“”的���,這就是會話機制維護的會話id,使用了的請求響應(yīng)過程如下圖
3���、登錄狀態(tài)
有了會話機制,登錄狀態(tài)就好明白了���,我們假設(shè)瀏覽器第一次請求服務(wù)器需要輸入用戶名與密碼驗證身份,服務(wù)器拿到用戶名密碼去數(shù)據(jù)庫比對�,正確的話說明當前持有這個會話的用戶是合法用戶���,應(yīng)該將這個會話標記為“已授權(quán)”或者“已登錄”等等之類的狀態(tài)��,既然是會話的狀態(tài)��,自然要保存在會話對象中,在會話對象中設(shè)置登錄狀態(tài)如下
1
2
= .();
.("",true);
用戶再次訪問時,在會話對象中查看登錄狀態(tài)
1
2
= .();
.("");
實現(xiàn)了登錄狀態(tài)的瀏覽器請求服務(wù)器模型如下圖描述
每次請求受保護資源時都會檢查會話對象中的登錄狀態(tài)��,只有 =true 的會話才能訪問�����,登錄機制因此而實現(xiàn)��。
二����、多系統(tǒng)的復(fù)雜性
web系統(tǒng)早已從久遠的單系統(tǒng)發(fā)展成為如今由多系統(tǒng)組成的應(yīng)用群,面對如此眾多的系統(tǒng)���,用戶難道要一個一個登錄、然后一個一個注銷嗎�����?就像下圖描述的這樣
web系統(tǒng)由單系統(tǒng)發(fā)展成多系統(tǒng)組成的應(yīng)用群��,復(fù)雜性應(yīng)該由系統(tǒng)內(nèi)部承擔�,而不是用戶�。無論web系統(tǒng)內(nèi)部多么復(fù)雜,對用戶而言��,都是一個統(tǒng)一的整體��,也就是說���,用戶訪問web系統(tǒng)的整個應(yīng)用群與訪問單個系統(tǒng)一樣���,登錄/注銷只要一次就夠了
雖然單系統(tǒng)的登錄解決方案很完美�����,但對于多系統(tǒng)應(yīng)用群已經(jīng)不再適用了,為什么呢�?
單系統(tǒng)登錄解決方案的核心是�����,攜帶會話id在瀏覽器與服務(wù)器之間維護會話狀態(tài)。但是有限制的�����,這個限制就是的域(通常對應(yīng)網(wǎng)站的域名)�����,瀏覽器發(fā)送http請求時會自動攜帶與該域匹配的,而不是所有
既然這樣,為什么不將web應(yīng)用群中所有子系統(tǒng)的域名統(tǒng)一在一個頂級域名下���,例如“*.”,然后將它們的域設(shè)置為“”,這種做法理論上是可以的����,甚至早期很多多系統(tǒng)登錄就采用這種同域名共享的方式�。
然而�,可行并不代表好,共享的方式存在眾多局限����。首先����,應(yīng)用群域名得統(tǒng)一���;其次��,應(yīng)用群各系統(tǒng)使用的技術(shù)(至少是web服務(wù)器)要相同����,不然的key值(為)不同,無法維持會話����,共享的方式是無法實現(xiàn)跨語言技術(shù)平臺登錄的,比如java、php�����、.net系統(tǒng)之間���;第三�����,本身不安全���。
因此����,我們需要一種全新的登錄方式來實現(xiàn)多系統(tǒng)應(yīng)用群的登錄�,這就是單點登錄
三、單點登錄
什么是單點登錄?單點登錄全稱 Sign On(以下簡稱SSO)����,是指在多系統(tǒng)應(yīng)用群中登錄一個系統(tǒng)�����,便可在其他所有系統(tǒng)中得到授權(quán)而無需再次登錄,包括單點登錄與單點注銷兩部分
1、登錄
相比于單系統(tǒng)登錄���,sso需要一個獨立的認證中心,只有認證中心能接受用戶的用戶名密碼等安全信息,其他系統(tǒng)不提供登錄入口,只接受認證中心的間接授權(quán)。間接授權(quán)通過令牌實現(xiàn)�,sso認證中心驗證用戶的用戶名密碼沒問題�,創(chuàng)建授權(quán)令牌�����,在接下來的跳轉(zhuǎn)過程中,授權(quán)令牌作為參數(shù)發(fā)送給各個子系統(tǒng)���,子系統(tǒng)拿到令牌,即得到了授權(quán)�,可以借此創(chuàng)建局部會話���,局部會話登錄方式與單系統(tǒng)的登錄方式相同��。這個過程,也就是單點登錄的原理���,用下圖說明
下面對上圖簡要描述
用戶訪問系統(tǒng)1的受保護資源,系統(tǒng)1發(fā)現(xiàn)用戶未登錄�,跳轉(zhuǎn)至sso認證中心��,并將自己的地址作為參數(shù)sso認證中心發(fā)現(xiàn)用戶未登錄,將用戶引導(dǎo)至登錄頁面用戶輸入用戶名密碼提交登錄申請sso認證中心校驗用戶信息�����,創(chuàng)建用戶與sso認證中心之間的會話�,稱為全局會話,同時創(chuàng)建授權(quán)令牌sso認證中心帶著令牌跳轉(zhuǎn)會最初的請求地址(系統(tǒng)1)系統(tǒng)1拿到令牌���,去sso認證中心校驗令牌是否有效sso認證中心校驗令牌,返回有效����,注冊系統(tǒng)1系統(tǒng)1使用該令牌創(chuàng)建與用戶的會話�,稱為局部會話�,返回受保護資源用戶訪問系統(tǒng)2的受保護資源系統(tǒng)2發(fā)現(xiàn)用戶未登錄,跳轉(zhuǎn)至sso認證中心���,并將自己的地址作為參數(shù)sso認證中心發(fā)現(xiàn)用戶已登錄,跳轉(zhuǎn)回系統(tǒng)2的地址���,并附上令牌系統(tǒng)2拿到令牌,去sso認證中心校驗令牌是否有效sso認證中心校驗令牌�,返回有效�����,注冊系統(tǒng)2系統(tǒng)2使用該令牌創(chuàng)建與用戶的局部會話,返回受保護資源
用戶登錄成功之后�����,會與sso認證中心及各個子系統(tǒng)建立會話���,用戶與sso認證中心建立的會話稱為全局會話�,用戶與各個子系統(tǒng)建立的會話稱為局部會話,局部會話建立之后�����,用戶訪問子系統(tǒng)受保護資源將不再通過sso認證中心單點登錄原理���,全局會話與局部會話有如下約束關(guān)系
局部會話存在�����,全局會話一定存在全局會話存在�����,局部會話不一定存在全局會話銷毀,局部會話必須銷毀
你可以通過博客園�、百度�����、csdn、淘寶等網(wǎng)站的登錄過程加深對單點登錄的理解�����,注意觀察登錄過程中的跳轉(zhuǎn)url與參數(shù)
2�、注銷
單點登錄自然也要單點注銷�����,在一個子系統(tǒng)中注銷����,所有子系統(tǒng)的會話都將被銷毀��,用下面的圖來說明
sso認證中心一直監(jiān)聽全局會話的狀態(tài)�,一旦全局會話銷毀�,監(jiān)聽器將通知所有注冊系統(tǒng)執(zhí)行注銷操作
下面對上圖簡要說明
用戶向系統(tǒng)1發(fā)起注銷請求系統(tǒng)1根據(jù)用戶與系統(tǒng)1建立的會話id拿到令牌,向sso認證中心發(fā)起注銷請求sso認證中心校驗令牌有效,銷毀全局會話����,同時取出所有用此令牌注冊的系統(tǒng)地址sso認證中心向所有注冊系統(tǒng)發(fā)起注銷請求各注冊系統(tǒng)接收sso認證中心的注銷請求�����,銷毀局部會話sso認證中心引導(dǎo)用戶至登錄頁面四、部署圖
單點登錄涉及sso認證中心與眾子系統(tǒng),子系統(tǒng)與sso認證中心需要通信以交換令牌、校驗令牌及發(fā)起注銷請求,因而子系統(tǒng)必須集成sso的客戶端,sso認證中心則是sso服務(wù)端�����,整個單點登錄過程實質(zhì)是sso客戶端與服務(wù)端通信的過程�����,用下圖描述
sso認證中心與sso客戶端通信方式有多種����,這里以簡單好用的為例�����,web 、rpc、 api都可以
五�、實現(xiàn)
只是簡要介紹下基于java的實現(xiàn)過程����,不提供完整源碼,明白了原理,我相信你們可以自己實現(xiàn)。sso采用客戶端/服務(wù)端架構(gòu)����,我們先看sso-與sso-要實現(xiàn)的功能(下面:sso認證中心=sso-)
sso-
攔截子系統(tǒng)未登錄用戶請求��,跳轉(zhuǎn)至sso認證中心接收并存儲sso認證中心發(fā)送的令牌與sso-通信,校驗令牌的有效性建立局部會話攔截用戶注銷請求,向sso認證中心發(fā)送注銷請求接收sso認證中心發(fā)出的注銷請求��,銷毀局部會話
sso-
驗證用戶的登錄信息創(chuàng)建全局會話創(chuàng)建授權(quán)令牌與sso-通信發(fā)送令牌校驗sso-令牌有效性系統(tǒng)注冊接收sso-注銷請求�����,注銷所有會話
接下來���,我們按照原理來一步步實現(xiàn)sso吧��!
1、sso-攔截未登錄請求
java攔截請求的方式有、�、三種方式��,我們采用。在sso-中新建.java類并實現(xiàn)接口,在()方法中加入對未登錄用戶的攔截
1
2
3
4
5
6
7
8
9
10
11
12
( , , chain), {
req = () ;
res = () ;
= req.();
if(.("")) {
chain.(, );
;
}
//跳轉(zhuǎn)至sso認證中心
res.("sso--url-with--url");
}
2����、sso-攔截未登錄請求
攔截從sso-跳轉(zhuǎn)至sso認證中心的未登錄請求����,跳轉(zhuǎn)至登錄頁面�,這個過程與sso-完全一樣
3�����、sso-驗證用戶登錄信息
用戶在登錄頁面輸入用戶名密碼單點登錄原理���,請求登錄��,sso認證中心校驗用戶信息,校驗成功�����,將會話狀態(tài)標記為“已登錄”
1
2
3
4
5
6
@("/login")
login( , , req) {
this.(, );
req.().("",true);
"";
}
4����、sso-創(chuàng)建授權(quán)令牌
授權(quán)令牌是一串隨機字符,以什么樣的方式生成都沒有關(guān)系����,只要不重復(fù)�、不易偽造即可���,下面是一個例子
1
token = UUID.().();
5��、sso-取得令牌并校驗
sso認證中心登錄后�����,跳轉(zhuǎn)回子系統(tǒng)并附上令牌,子系統(tǒng)(sso-)取得令牌�����,然后去sso認證中心校驗����,在.java的()中添加幾行
1
2
3
4
5
6
7
8
9
10
11
// 請求附帶token參數(shù)
token = req.("token");
if(token !=null) {
// 去sso認證中心校驗token
=this.("sso---url", token);
if(!) {
res.("sso--url");
;
}
chain.(, );
}
()方法使用實現(xiàn)����,這里僅簡略介紹,詳細使用方法請參考官方文檔
1
2
