Foxnic-Web 实现单点登录(SSO)

LeeFJ
367 阅读3分钟
概述

  所谓单点登录(Single Sign On),简称为 SSO,就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

  任何系统接入SSO前需要完成两个步骤,

  1、主数据同步: 这些主数据包括组织、账户、权限信息等,从外部系统(可以是MDM、OA、HR等)同步本系统需要的这些数据。

  2、实现SSO跳转页: 门户系统会将令牌传递至当前系统,当前系统需要读取令牌中的内容,在本系统完成账户认证的操作。

组织与账户同步

  在单点登录之前,首先要确保组织节点、账户等信息已经同步到系统中,组织、账户同步可以有很多中方式,这里不再赘述。

TokenReader

  SSO 对接工作的核心是读取令牌(Token)值,并转换为本系统的 userId。Foxnic-Web 已经对SSO集成做了很大的简单化,仅需实现一个 TokenReader 即可,如下代码所示。

import com.github.foxnic.api.transter.Result;
import org.github.foxnic.web.domain.oauth.User;
import org.github.foxnic.web.framework.sso.TokenReader;
import org.github.foxnic.web.language.Language;
import org.github.foxnic.web.proxy.oauth.UserServiceProxy;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;

@Component
public class FoxnicTokenReader extends TokenReader {
    /**
     * 从请求中读取账户
     * */
    @Override
    public String readUserId(HttpServletRequest request) {
        // 读取token
        String account=request.getParameter("account");
        // 把读取的 token 转换为 userId
        Result<User> userResult = UserServiceProxy.api().getByAccount(account);
        if(userResult.failure()) return null;
        if(userResult.data()==null) return null;
        // 最终返回 userId
        return userResult.data().getId();
    }

    /**
     * 从请求中读取用户指定的语言
     * */
    @Override
    public Language readLanguage(HttpServletRequest request) {
        return Language.zh_cn;
    }
}
系统配置

  TokenReader 定义后需要在 YML 文件中的 security.token-resders 指定,可以指定一个,也可以指定多个,若指定多个则按顺序调用。如下图所示:

SSO 跳转

  在 Foxnic-Web 中,sso 跳转也为 /sso-login.html 。针对不同的场景可以指定不同的参数值:

  format :响应方式,可选值包括:html/json。html 通常用于pc端,完成登录后,自动跳转到指定页面。json 方式主要用于移动端等非网页的场合。

  redirect : 指定登录后的跳转页面,format 为 html 时有效,默认为 /index.html

登出与拦截

  如果当前系统集成了单点登录,那么就需要在系统登出后或会话过期时跳转到Portal自己的登录页,而不是当前系统的登录页。此时需要到系统管理下的系统参数设置两个参数:

  system.external.portal.enable:此参数开启时,表示当前系统与外部Portal系统做了集成。

  system.external.portal.loginURL:当 system.external.portal.enable 参数开启时,指定外部门户的登录页面地址。

登录身份识别

  登录身份识别与优先级的定义其实是常规登录中(非SSO)的一个概念,当用户在登录界面的输入框输入时,可能会输入帐号,也可能输入的是手机号、email、工号等。总之,从技术角度讲,账户表本身或任何与账户表有关联关系的表的字段,只要他唯一,就可以用于身份识别。那么,如何确保正确识别呢? Foxnic-Web 使用了身份优先级配置这个特性。

  Foxnic-Web 的常规登录,目前支持 账户ID,账户名称、手机号、工号,这四种,这些以支持的类型在 LoginIdentityType 枚举类型中定义。为了避免识别的冲突,需要在试试时指定他们的优先级,YML 文件如下所示:

  其中,账户ID作为最高优先级无法修改,其它登录身份识别标识可以通过YML文件调整识别的优先级。

相关项目

  gitee.com/LeeFJ/foxni…

  gitee.com/LeeFJ/foxni…

  gitee.com/lank/eam

官方文档

  foxnicweb.com/docs/doc.ht…

avatar
文章
阅读
粉丝