本文已参与「新人创作礼」活动,一起开启掘金创作之路。
概念
单点登录(Single Sign On,SSO)指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录和单点注销两部分
多系统登录的问题与解决
session不共享问题
单系统登录功能主要是用session保存用户信息来实现的,多个系统即可能有多个Tomcat,而session是依赖当前系统的Tomcat,所以系统A的session和系统B的session是不能共享的。
解决系统之间session不共享问题的方案
把session数据放在Redis上(使用Redis模拟session)
可以将登录功能单独抽取出来,做成一个子系统。
sso登录系统的逻辑如下:
- sso系统生成一个token,并将用户信息存到Redis中,并设置过期时间
- 其他系统请求sso系统进行登录,得到sso返回的token,写入到Cookie中
- 每次请求时,Cookie都会带上,拦截器得到token,判断是否已经登录
cookie跨域的问题
cookie是不能跨域的,由于域名不同,用户向系统A登录后,系统A返回给浏览器的cookie,用户再请求系统B的时候不会将系统A的cookie带过去。
解决cookie跨域问题的方案
- 服务端将Cookie写到客户端后,客户端对Cookie进行解析,将Token解析出来,此后请求都把这个Token带上就行了
- 多个域名共享Cookie,在写到客户端的时候设置Cookie的domain。
- 将Token保存在SessionStroage中(不依赖Cookie就没有跨域的问题了)
实现方案
CAS框架
CAS(Central Authentication Service)是实现SSO单点登录的框架。
用户首次登陆时流程如下:
- 用户浏览器访问系统A需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据。
- 系统A发现该请求需要登录,将请求重定向到认证中心,获取全局票据操作,没有,进行登录。请求的地址:www.sso.com?service=www.it.com
- 认证中心呈现登录页面,用户登录,登录成功后,认证中心重定向请求到系统A,并附上认证令牌,此时认证中心同时生成了全局票据www.it.com??token=xxxxx
- 此时再次进行登录检查,发现未登录,然后再次获取票据操作,此时可以获得票据(令牌),系统A与认证中心通信,验证令牌有效,证明用户已登录
- 系统A将受限资源返给用户
已登录用户首次访问应用群中系统B时:
- 浏览器访问另一应用B需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据
- 系统B发现该请求需要登录,将请求重定向到认证中心,获取全局票据操作,获取全局票据,可以获得,认证中心发现已经登录
- 认证中心发放临时票据(令牌),并携带该令牌重定向到系统B
- 此时再次进行登录检查,发现未登录,然后再次获取票据操作,此时可以获得票据(令牌),系统B与认证中心通信,验证令牌有效,证明用户已登录
- 系统B将受限资源返回给客户端
登录状态判断
用户到认证中心登录后,用户和认证中心之间建立起了会话,我们把这个会话称之为全局会话。当用户后续访问系统应用时,我们不可能每次应用请求都到认证中心去判定是否登录,这样效率非常低下,这也是单web应用不需要考虑的。
可以在系统应用和用户浏览器之间建立起局部会话,局部会话保持了客户端与该系统应用的登录状态,局部会话依附于全局会话,局部会话保持了客户端与该系统应用的登录状态,局部会话依附于全局会话存在,全局会话消失,局部会话必须消失
用户访问应用时,首先判断局部会话是否存在,如存在,即认为是登录状态,无需再到认证中心去判断。如不存在,就重定向到认证中心判断全局会话是否存在
登出操作
用户在一个系统登出了,访问其它子系统,也应该是登出状态。要想做到这一点,应用除结束本地局部会话外,还应该通知认证中心该用户登出。
认证中心接到登出通知,即可结束全局会话,同时需要通知所有已建立局部会话的子系统,将它们的局部会话销毁。这样,用户访问其它应用时,都显示已登出状态。
整个登出流程如下:
1)、客户端向应用A发送登出Logout请求。
2)、应用A取消本地会话,同时通知认证中心,用户已登出。
3)、应用A返回客户端登出请求。
4)、认证中心通知所有用户登录访问的应用,用户已登出。
