2. 程式人生 > >如何設計一個單點登錄系統(3)?

如何設計一個單點登錄系統(3)?

阿新 發佈:2018-05-18
抽象 pat resolve pro 業務 問題 resolv -c cli

在上一篇文章

如何設計一個單點登錄系統(2)?

中主要講解了可跨域SSO系統服務端,客戶端在登錄,登出過程中分別應該承擔的職責,本文將重點聊一下具體技術實現,源碼地址: https://github.com/zhoudapeng/zsso

首先聊服務端的實現,畢竟服務端是整個單點登錄系統的大腦

  1. 提供登錄頁,這個是登錄的基礎,所有的接入方在發現當前用戶未登錄的情況下都會重定向到sso服務端的登錄頁,服務端的邏輯如下:

技術分享圖片

sso服務端登錄頁邏輯

這裏服務端需要做個判斷:

  • 如果當前登錄存在.sso.com域下的有效cookie,則證明此用戶之前在其他業務系統登錄過,此時無需再讓用戶登錄,只需要綁定token與此系統名的關系,然後重定向到此系統的回調接口(接入方需要在此回調接口中驗證token,創建本地會話)

  • 不存在.sso.com域下的有效cookie,證明此用戶未登錄過,需要跳轉到登錄頁,讓用戶登錄,為了用戶登錄後能直接進入之前的頁面,這裏重定向的過程中需要帶上redirectUrl 這個參數

2.提供登錄接口,用戶在登錄頁輸入賬號密碼後會通過form表單已post的形式提交到此接口

技術分享圖片

sso服務端登錄form表單提交處理邏輯

  • 如果賬號密碼不對,則再次跳轉到登錄頁

  • 賬號密碼匹配,則需要創建token,綁定token與系統名的關系,寫全局cookie,然後重定向到接入方的回調地址

3.提供驗證token接口

技術分享圖片

sso服務端驗證token接口

  • token不存在,返回驗證失敗

  • token存在,則取出token的有效截止日期,並綁定token與系統名的關系

4.提供登出接口

技術分享圖片

sso服務端登出接口

登出時,需要根據token查到所有綁定過的系統名,然後調用各個系統的登出接口一一登出。

以上是服務端需要提供的4個接口,下面我們再將一下客戶端的實現

在第一篇文章中講過,一個好的sso系統必須要讓接入方接入簡單,所以本人借鑒了spring auto-driven的思想,也提供了對應的命名空間,並抽象出了UrlHelper,UserStore,ZssoClient,ZssoConfigResolver4個組件,以及默認實現類,接入方在接入過程中可以隨意拓展這4個組件,然後直接註入到業務層上下文即可。

  • UrlHelper:拼接url的組件,如無特殊需求不建議重新實現

  • ZssoClient:跟服務端交互的組件,如無特殊需求不建議重新實現

  • ZssoConfigResolver:解析配置文件的組件,默認實現是讀取本地classpath下zsso-client.properties配置文件,如無特殊需求不建議重新實現

  • UserStore:存取用戶信息的組件,包括根據token解析用戶信息,綁定token與userId關系,解綁token,默認實現只是為了演示用,接入方請務必自己實現此接口,並以userStore的名稱註入到業務層上下文中。

拓展組件使用方式:

技術分享圖片

拓展UserStore組件配置方式

在spring掃描掉<zsso:auto-driven/>時會去回調ZssoNamespaceHandler的init方法,最終執行ZssoBeanDefinitionParser的parse方法,在此方法中會去檢查每個組件是否有註入對應的BeanDefinition,如果沒有則會自動註入默認實現類,核心代碼如下:

技術分享圖片

ZssoBeanDefinitionParser核心代碼

技術分享圖片

ComponentInitializer核心代碼

至此組件初始化的問題已經解決了,另外需要接入方開發的是如下問題:

  1. 判斷登錄狀態

  2. 登錄成功回調接口(包括check token的邏輯)

  3. 登出回調接口

既然每個接入方都有這樣的共性,所以我提供了一個ZssoFilter,在Filter裏根據不同的url做不同的處理,接入方只需要配置此Filter即可,Filter內部會自動去獲取組件,接入方只需要拓展相關組件即可,ZssoFilter核心代碼如下:

技術分享圖片

ZssoFilter核心邏輯

LoginCallbackFilter已封裝好解析請求參數中token,check token,創建本地會話,跳轉到原頁面等功能

LoginCheckFilter已封裝好判斷當前用戶是否登錄及跳轉到登錄頁的邏輯

LogoutFilter已封裝好刪除本地會話的功能

代碼中很多代碼都是演示類的,尤其是server端的實現,比如保持用戶信息都是存的本地緩存,如果要放到生成環境則需要優化下這塊的邏輯,比如放到redis這樣的分布式緩存等等。

最後非常感謝大家能在百忙中抽空看我的文章,大家的每一次查看都是我繼續寫文章的動力,由於本人是典型理科男,文筆可能欠妥,希望大家能夠繼續支持我,我也會繼續努力,繼續堅持原創,但願能讓大家都能有所收獲!

如何設計一個單點登錄系統(3)?

相關推薦

如何設計一個系統3

抽象 pat resolve pro 業務 問題 resolv -c cli 在上一篇文章 如何設計一個單點登錄系統(2)? 中主要講解了可跨域SSO系統服務端,客戶端在登錄,登出過程中分別應該承擔的職責,本文將重點聊一下具體技術實現,源碼地址: https://githu

如何設計一個系統1

ping 微信 根據 files 示例 o-c 基本 形式 TP 單點登錄系統的由來 隨著互聯網技術的發展,目前各大公司都在瘋狂擴張業務,比如像阿裏巴巴,旗下就有淘寶,天貓,支付寶等業務線,按照目前的互聯網產品,基本上每個產品都會涉及到賬戶體系,不管是社交也好,電商也罷,都

[轉]八幅漫畫理解使用JSON Web Token設計系統

漫畫 響應 嘗試 占用 tao 自己的 解碼 -a 發送 上次在《JSON Web Token - 在Web應用間安全地傳遞信息》中我提到了JSON Web Token可以用來設計單點登錄系統。我嘗試用八幅漫畫先讓大家理解如何設計正常的用戶認證系統,然後再延伸到單點登錄系統

系統SSO以及實現技術CAS了解(手記)

http 多個 文件中 style 處理 通信 發送 所有 什麽 一.單點登錄 單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的 解決方案之一。SSO 的定義是在多個應用系統中,用戶只需要登錄一次就可以訪 問所有相互信任的應用系統。它

互聯網分布式微服務雲平臺規劃分析--SSO系統

雲平臺 bat 架構 linux ips 功能 用戶 lips 密碼重置 介紹 鴻鵠雲架構【SSO單點登錄系統】為所有微服務提供統一的用戶認證服務,系統本身屬於微服務模式,使用JWT+Redis分布式存儲方案,確保不同微服務、系統之間的安全通訊和統一用戶校驗、認證。在整個服

如何寫一個Metasploit的掃描LoginScanners插件

發送 user spl ast 設定 相互 語法 lec 文章 我們不生產文章,我們只是大自然的搬運工。此掃描插件的詳細生產由rapid團隊在github發布,詳情在博客最下端。 在寫插件之前,我們需要了解一些基本的概念: 證書(Credential Objects) 數字

Java登入許可權系統—簡介

開源地址 部署文件 簡述 Smart定位用當下最流行的SSM(SpringMVC + Spring + Mybatis)技術,為您構建一個易理解、高可用、高擴充套件性的單點登入許可權管理應用基層,方便實現快速開發。許可權按鈕級(可控制到Cont

身份認證系統多WEB應用的

會有 求和 頂級域名 等等 票據 什麽 多個 另一個 如何解決 隨著互聯網的發展,web應用的復雜度也一直在提升,慢慢的單一的web應用已經不能滿足復雜的業務需求。例如百度的搜索、新聞、百科、貼吧,其實本質上都是不同的網站。當用戶使用這些平臺的時候,我們當然不希望用戶在每一

Shiro學習15

XML init mage oid login plugin void keystore .com Shiro 1.2開始提供了Jasig CAS單點登錄的支持,單點登錄主要用於多系統集成,即在多個系統中,用戶只需要到一個中央服務器登錄一次即可訪問這些系統中的任何一個,無須

java實現簡單的

hresult 調查公司 exe ftp 說我 負數 是我 create 統一 摘要:單點登錄(SSO)的技術被越來越廣泛地運用到各個領域的軟件系統當中。本文從業務的角度分析了單點登錄的需求和應用領域;從技術本身的角度分析了單點登錄技術的內部機制和實現手段,並且給出Web-

SSO的實現原理

客戶 解決方案 bus 應用集成 eight 冗余 請求 效率 att 單點登錄SSO(Single Sign On)說得簡單點就是在一個多系統共存的環境下,用戶在一處登錄後,就不用在其他系統中登錄,也就是用戶的一次登錄能得到其他所有系統的信任。單點登錄在大型網站裏使用得非

cas-jdbc認證

warn uil 單向加密 admin rom hibernate con als salt 前言 本節的內容為JDBC認證,查找數據庫進行驗證,其中包括: 密碼加密策略(無密碼,簡單加密,加鹽處理) 認證策略(jdbc) 一、業務需求 不同的公司,需求業務需求或者架

,session,jsonp待更新

es2017 技術 單點 跨域 ima com bsp post class 單點登錄理解: 單點登錄系統設計: ajax跨域: 單點登錄,session,jsonp(待更新)

FortiGate飛塔防火墻使用LDAP和FSSO代理進行

works 頁面 filter bar web authent 火墻 51cto web頁面 案例中使用FSSO和Windows DC LDAP服務器的認證進行用戶身份的校驗來控制網絡訪問的權限。1. 在FortiGate防火墻上配置Windows DC LDAP服務器找到

權限認證系統, 實現類似的功能

coo 系統 新建用戶 用戶認證 認證 一次 所有 保存 cookie 用於統一管理所有集采相關站點的token,實現類似單點登錄的功能。主要用於多服務集群, 各子系統單獨登錄,想要實現單點登錄的功能。首先 新建用戶認證表(總表),包括子系統所有的用戶,要求token唯一性

系統性能測試診斷分析優化過程

ack 16px sqlio packet 協助 sqli 通過 查看 新增 某系統單點登錄性能測試診斷分析優化過程原因說明 下面描述的是前段時間協助本地一家上市IT公司做產品技術選型時對他們的技術框架進行性能測試與優化過程記錄,因測試過程中涉及數據庫選型和各類問題的監

自己動手寫SSO

getattr apach tpc style inter -m commons getwriter servle SSO在我們的應用中非常常見,例如我們在OA系統登錄了,我們就可以直接進入采購系統,不需要再登錄了,這樣使我們非常方便。

多個業務系統後臺打通的實現

一個數據庫 公司 find lena vol sign sel 兩個 param 公司的業務後臺系統, 快十來個了。 每個系統的後臺管理員表都不一樣,擁有的權限也不一樣。 不是每個後臺管理員都能登錄全部系統的。有的能登錄一、兩個,有的能登錄七、八個。 現在要解決的問題是,如

SSO簡介

基礎設施 markup 目前 大學 位數 nsa 在服務器 管理系統 ets 單點登錄SSO(Single Sign-On)是身份管理中的一部分。SSO的一種較為通俗的定義是:SSO是指訪問同一服務器不同應用中的受保護資源的同一用戶,只需要登錄一次,即 通過一個應用中的安全

十二Java B2B2C多用戶商城 springboot架構-SSO之OAuth2.0

fff 用戶 red auth src ror 單點登錄 更多 watermark 上一篇我根據框架中OAuth2.0的使用總結,畫了一個根據用戶名+密碼實現OAuth2.0的登錄認證的流程圖,今天我們看一下logout的流程: /** * 用戶註銷