SSO单点登录
一、SSO原理
单点登录(简称 SSO)是一种用户鉴权过程,允许用户在多个应用系统中使用单一的登录凭证(通常是用户名和密码)进行访问。它的基本原理是创建一种中央鉴权机制,用户登录一次后,无需在其他系统中再次进行身份验证即可访问这些系统的资源。
二、SSO方案有哪些
方案一:OAuth 2.0
如果使用 OAuth 2.0
1、添加相应的依赖到你的 pom.xml 或 build.gradle 文件。
2、配置安全性(安全上下文、认证管理器、用户详细信息服务等)。
3、使用 @EnableOAuth2Sso 或 @EnableOAuth2Client 注解启用 OAuth2 SSO 支持。
方案二:CAS (Central Authentication Service):
如果使用 CAS 作为 SSO 服务器:
1、添加 Spring Security CAS 的依赖和其他必要的 CAS 客户端库。
2、配置安全性,包括 ServiceAuthenticationDetailsSource 和 CasAuthenticationProvider。
3、设置你的 Spring Security 配置,加入 CAS 针对的 Filter。
4、配置 application.properties 或 application.yml 以连接到 CAS 服务器。
关键流程说明
- 首次访问系统A:
- 浏览器 → 系统A → 重定向到认证中心 → 登录页
- 登录成功 → 返回带Token的URL → 系统A验证Token → 建立本地会话
- 访问系统B时:
- 浏览器 → 系统B → 重定向到认证中心
- 认证中心发现已有登录状态 → 直接返回Token → 系统B验证 → 建立会话
三、代码案例
1.环境准备
- SSO认证中心服务( www.mysso.com)
- 客户端1(www.myclient1.com)
- 客户端2(www.myclient2.com)
由于是Demo实例,这里若有要访问-需要修改一下本机host,添加如下映射
127.0.0.1 www.mysso.com127.0.0.1 www.myclient1.com127.0.0.1 www.myclient2.com
2.搭建SSO认证中心服务
搭建一个SSO统一登录需要的功能
主要接口:
1、登录(/login):用户登录并生成SSO令牌。
2、校验令牌(/checkToken):客户端系统校验SSO令牌的合法性。
3、检查登录状态(/checkLogin):检查用户是否已登录,决定是否跳转到登录页面或目标系统。
- 统一登录页+接口
- 校验令牌有效性接口(调用来源:子系统)
- 校验登录状态接口(调用来源:子系统)
- 统一退出(调用来源:子系统或退出认证中心服务)
2.1、定义一个统一的登录页
<!DOCTYPE html>
<html>
<head><meta charset="UTF-8"><title>SSODemo</title>
</head>
<style>body.center {text-align: center;
}
</style>
<body class="center">
<div><h1>SSO用户统一登录</h1>
</div>
<div><form name="loginForm" action="/sso/login" method="POST" accept-charset="UTF-8"><div><input placeholder="用户名" value="admin" name="username" type="text"/></div><div><input placeholder="密码" value="123456" name="password" type="password"/></div><div style="color: red"><span th:text="${msg}"></span></div><div><input name="redirectUrl" type="hidden" th:value="${redirectUrl}"/></div><input type="submit" value="登录"/><input type="reset" value="重置"/></form>
</div>
</body>
</html>效果图:
2.2统一登录接口
使用的 session存储登录信息
2.3校验令牌接口
在跳转到子系统后会携带令牌token,这时候需要调用以下接口来校验token的有效性
以下接口一共做了2件事情
1、校验token是否有效
若有效-则记录了注册上来的子系统信息,用于统一注销时候使用
2.4校验登录状态接口
当令牌校验返回失败时,子系统需要调用此接口
2.5统一退出接口
退出监听,当统一认证中心session销毁时,同时注销子系统
3.搭建客户端服务
开始搭建一个客户端
- 拦截请求
- 请求认证中心校验令牌有效性
(1)有效则创建局部会话
(2)无效则继续请求认证中心登录 - 注销系统-请求认证中心统一注销
3.1核心请求拦截器实现
4.源码实例测试
由于是Demo实例,这里需要访问-需要修改一下本机host,添加如下映射
127.0.0.1 www.mysso.com127.0.0.1 www.myclient1.com127.0.0.1 www.myclient2.com
添加好本机host映射后-分别启动
sso-server 域名使用内网域名(www.mysso.com:8081)
sso-client1 域名使用内网域名(www.myclient1.com:8082)
sso-client2 域名使用内网域名(www.myclient1.com:8083)
4.1 客户端1登录
4.1.1在浏览器端访问 www.myclient1.com:8082
由于没有登录过任何一个系统,也没有全局会话,所以会跳转到统一认证中心进行登录,可以查看到redirectUrl就是我们要访问的www.myclient1.com:8082
4.2 客户端2登录
由于客户端1已经登录,也就是说已经存在全局会话了,那么在访问客户端2的时候,其实无需登录的,只需要认证中心将最新的ssoToken携带过来就可以了。浏览器输入 www.myclient2.com:8083
5.总结
SSO实现原理可以归纳于生活中的例子来进行比喻:
想象你去了一个大型游乐园,这个游乐园里有很多不同的游乐设施(比如过山车、摩天轮、鬼屋等)。每个设施都需要单独检票才能进入。如果没有SSO,你需要每次玩一个新设施时都出示门票,甚至可能需要重新买票,非常麻烦。
而SSO的作用就像是一张游乐园通票 ,你只需要在入园时检票一次,之后就可以随意玩所有设施,无需重复检票。