一、單系統(tǒng)登錄機(jī)制

1、http無(wú)狀態(tài)協(xié)議

　　web應(yīng)用采用browser/server架構(gòu)，http作為通信協(xié)議。http是無(wú)狀態(tài)協(xié)議，瀏覽器的每一次請(qǐng)求，服務(wù)器會(huì)獨(dú)立處理，不與之前或之后的請(qǐng)求產(chǎn)生關(guān)聯(lián)，這個(gè)過(guò)程用下圖說(shuō)明，三次請(qǐng)求/響應(yīng)對(duì)之間沒(méi)有任何聯(lián)系

　　但這也同時(shí)意味著，任何用戶(hù)都能通過(guò)瀏覽器訪問(wèn)服務(wù)器資源，如果想保護(hù)服務(wù)器的某些資源，必須限制瀏覽器請(qǐng)求；要限制瀏覽器請(qǐng)求，必須鑒別瀏覽器請(qǐng)求，響應(yīng)合法請(qǐng)求，忽略非法請(qǐng)求；要鑒別瀏覽器請(qǐng)求，必須清楚瀏覽器請(qǐng)求狀態(tài)。既然http協(xié)議無(wú)狀態(tài)，那就讓服務(wù)器和瀏覽器共同維護(hù)一個(gè)狀態(tài)吧！這就是會(huì)話(huà)機(jī)制

2、會(huì)話(huà)機(jī)制

　　瀏覽器第一次請(qǐng)求服務(wù)器，服務(wù)器創(chuàng)建一個(gè)會(huì)話(huà)，并將會(huì)話(huà)的id作為響應(yīng)的一部分發(fā)送給瀏覽器，瀏覽器存儲(chǔ)會(huì)話(huà)id，并在后續(xù)第二次和第三次請(qǐng)求中帶上會(huì)話(huà)id，服務(wù)器取得請(qǐng)求中的會(huì)話(huà)id就知道是不是同一個(gè)用戶(hù)了，這個(gè)過(guò)程用下圖說(shuō)明，后續(xù)請(qǐng)求與第一次請(qǐng)求產(chǎn)生了關(guān)聯(lián)

　　服務(wù)器在內(nèi)存中保存會(huì)話(huà)對(duì)象，瀏覽器怎么保存會(huì)話(huà)id呢？你可能會(huì)想到兩種方式

1. 請(qǐng)求參數(shù)
2. cookie

　　將會(huì)話(huà)id作為每一個(gè)請(qǐng)求的參數(shù)，服務(wù)器接收請(qǐng)求自然能解析參數(shù)獲得會(huì)話(huà)id，并借此判斷是否來(lái)自同一會(huì)話(huà)，很明顯，這種方式不靠譜。那就瀏覽器自己來(lái)維護(hù)這個(gè)會(huì)話(huà)id吧，每次發(fā)送http請(qǐng)求時(shí)瀏覽器自動(dòng)發(fā)送會(huì)話(huà)id，cookie機(jī)制正好用來(lái)做這件事。cookie是瀏覽器用來(lái)存儲(chǔ)少量數(shù)據(jù)的一種機(jī)制，數(shù)據(jù)以”key/value“形式存儲(chǔ)，瀏覽器發(fā)送http請(qǐng)求時(shí)自動(dòng)附帶cookie信息

　　tomcat會(huì)話(huà)機(jī)制當(dāng)然也實(shí)現(xiàn)了cookie，訪問(wèn)tomcat服務(wù)器時(shí)，瀏覽器中可以看到一個(gè)名為“JSESSIONID”的cookie，這就是tomcat會(huì)話(huà)機(jī)制維護(hù)的會(huì)話(huà)id，使用了cookie的請(qǐng)求響應(yīng)過(guò)程如下圖

3、登錄狀態(tài)

　　有了會(huì)話(huà)機(jī)制，登錄狀態(tài)就好明白了，我們假設(shè)瀏覽器第一次請(qǐng)求服務(wù)器需要輸入用戶(hù)名與密碼驗(yàn)證身份，服務(wù)器拿到用戶(hù)名密碼去數(shù)據(jù)庫(kù)比對(duì)，正確的話(huà)說(shuō)明當(dāng)前持有這個(gè)會(huì)話(huà)的用戶(hù)是合法用戶(hù)，應(yīng)該將這個(gè)會(huì)話(huà)標(biāo)記為“已授權(quán)”或者“已登錄”等等之類(lèi)的狀態(tài)，既然是會(huì)話(huà)的狀態(tài)，自然要保存在會(huì)話(huà)對(duì)象中，tomcat在會(huì)話(huà)對(duì)象中設(shè)置登錄狀態(tài)如下

1 2	HttpSession session = request.getSession(); session.setAttribute("isLogin",?true);

　　用戶(hù)再次訪問(wèn)時(shí)，tomcat在會(huì)話(huà)對(duì)象中查看登錄狀態(tài)

1 2	HttpSession session = request.getSession(); session.getAttribute("isLogin");

　　實(shí)現(xiàn)了登錄狀態(tài)的瀏覽器請(qǐng)求服務(wù)器模型如下圖描述

　　每次請(qǐng)求受保護(hù)資源時(shí)都會(huì)檢查會(huì)話(huà)對(duì)象中的登錄狀態(tài)，只有 isLogin=true 的會(huì)話(huà)才能訪問(wèn)，登錄機(jī)制因此而實(shí)現(xiàn)。

二、多系統(tǒng)的復(fù)雜性

　　web系統(tǒng)早已從久遠(yuǎn)的單系統(tǒng)發(fā)展成為如今由多系統(tǒng)組成的應(yīng)用群，面對(duì)如此眾多的系統(tǒng)，用戶(hù)難道要一個(gè)一個(gè)登錄、然后一個(gè)一個(gè)注銷(xiāo)嗎？就像下圖描述的這樣

　　web系統(tǒng)由單系統(tǒng)發(fā)展成多系統(tǒng)組成的應(yīng)用群，復(fù)雜性應(yīng)該由系統(tǒng)內(nèi)部承擔(dān)，而不是用戶(hù)。無(wú)論web系統(tǒng)內(nèi)部多么復(fù)雜，對(duì)用戶(hù)而言，都是一個(gè)統(tǒng)一的整體，也就是說(shuō)，用戶(hù)訪問(wèn)web系統(tǒng)的整個(gè)應(yīng)用群與訪問(wèn)單個(gè)系統(tǒng)一樣，登錄/注銷(xiāo)只要一次就夠了

　　雖然單系統(tǒng)的登錄解決方案很完美，但對(duì)于多系統(tǒng)應(yīng)用群已經(jīng)不再適用了，為什么呢？

　　單系統(tǒng)登錄解決方案的核心是cookie，cookie攜帶會(huì)話(huà)id在瀏覽器與服務(wù)器之間維護(hù)會(huì)話(huà)狀態(tài)。但cookie是有限制的，這個(gè)限制就是cookie的域（通常對(duì)應(yīng)網(wǎng)站的域名），瀏覽器發(fā)送http請(qǐng)求時(shí)會(huì)自動(dòng)攜帶與該域匹配的cookie，而不是所有cookie

　　既然這樣，為什么不將web應(yīng)用群中所有子系統(tǒng)的域名統(tǒng)一在一個(gè)頂級(jí)域名下，例如“*.baidu.com”，然后將它們的cookie域設(shè)置為“baidu.com”，這種做法理論上是可以的，甚至早期很多多系統(tǒng)登錄就采用這種同域名共享cookie的方式。

　　然而，可行并不代表好，共享cookie的方式存在眾多局限。首先，應(yīng)用群域名得統(tǒng)一；其次，應(yīng)用群各系統(tǒng)使用的技術(shù)（至少是web服務(wù)器）要相同，不然cookie的key值（tomcat為JSESSIONID）不同，無(wú)法維持會(huì)話(huà)，共享cookie的方式是無(wú)法實(shí)現(xiàn)跨語(yǔ)言技術(shù)平臺(tái)登錄的，比如java、php、.net系統(tǒng)之間；第三，cookie本身不安全。

　　因此，我們需要一種全新的登錄方式來(lái)實(shí)現(xiàn)多系統(tǒng)應(yīng)用群的登錄，這就是單點(diǎn)登錄

三、單點(diǎn)登錄

　　什么是單點(diǎn)登錄？單點(diǎn)登錄全稱(chēng)Single Sign On（以下簡(jiǎn)稱(chēng)SSO），是指在多系統(tǒng)應(yīng)用群中登錄一個(gè)系統(tǒng)，便可在其他所有系統(tǒng)中得到授權(quán)而無(wú)需再次登錄，包括單點(diǎn)登錄與單點(diǎn)注銷(xiāo)兩部分

1、登錄

　　相比于單系統(tǒng)登錄，sso需要一個(gè)獨(dú)立的認(rèn)證中心，只有認(rèn)證中心能接受用戶(hù)的用戶(hù)名密碼等安全信息，其他系統(tǒng)不提供登錄入口，只接受認(rèn)證中心的間接授權(quán)。間接授權(quán)通過(guò)令牌實(shí)現(xiàn)，sso認(rèn)證中心驗(yàn)證用戶(hù)的用戶(hù)名密碼沒(méi)問(wèn)題，創(chuàng)建授權(quán)令牌，在接下來(lái)的跳轉(zhuǎn)過(guò)程中，授權(quán)令牌作為參數(shù)發(fā)送給各個(gè)子系統(tǒng)，子系統(tǒng)拿到令牌，即得到了授權(quán)，可以借此創(chuàng)建局部會(huì)話(huà)，局部會(huì)話(huà)登錄方式與單系統(tǒng)的登錄方式相同。這個(gè)過(guò)程，也就是單點(diǎn)登錄的原理，用下圖說(shuō)明

　　下面對(duì)上圖簡(jiǎn)要描述

1. 用戶(hù)訪問(wèn)系統(tǒng)1的受保護(hù)資源，系統(tǒng)1發(fā)現(xiàn)用戶(hù)未登錄，跳轉(zhuǎn)至sso認(rèn)證中心，并將自己的地址作為參數(shù)
2. sso認(rèn)證中心發(fā)現(xiàn)用戶(hù)未登錄，將用戶(hù)引導(dǎo)至登錄頁(yè)面
3. 用戶(hù)輸入用戶(hù)名密碼提交登錄申請(qǐng)
4. sso認(rèn)證中心校驗(yàn)用戶(hù)信息，創(chuàng)建用戶(hù)與sso認(rèn)證中心之間的會(huì)話(huà)，稱(chēng)為全局會(huì)話(huà)，同時(shí)創(chuàng)建授權(quán)令牌
5. sso認(rèn)證中心帶著令牌跳轉(zhuǎn)會(huì)最初的請(qǐng)求地址（系統(tǒng)1）
6. 系統(tǒng)1拿到令牌，去sso認(rèn)證中心校驗(yàn)令牌是否有效
7. sso認(rèn)證中心校驗(yàn)令牌，返回有效，注冊(cè)系統(tǒng)1
8. 系統(tǒng)1使用該令牌創(chuàng)建與用戶(hù)的會(huì)話(huà)，稱(chēng)為局部會(huì)話(huà)，返回受保護(hù)資源
9. 用戶(hù)訪問(wèn)系統(tǒng)2的受保護(hù)資源
10. 系統(tǒng)2發(fā)現(xiàn)用戶(hù)未登錄，跳轉(zhuǎn)至sso認(rèn)證中心，并將自己的地址作為參數(shù)
11. sso認(rèn)證中心發(fā)現(xiàn)用戶(hù)已登錄，跳轉(zhuǎn)回系統(tǒng)2的地址，并附上令牌
12. 系統(tǒng)2拿到令牌，去sso認(rèn)證中心校驗(yàn)令牌是否有效
13. sso認(rèn)證中心校驗(yàn)令牌，返回有效，注冊(cè)系統(tǒng)2
14. 系統(tǒng)2使用該令牌創(chuàng)建與用戶(hù)的局部會(huì)話(huà)，返回受保護(hù)資源

　　用戶(hù)登錄成功之后，會(huì)與sso認(rèn)證中心及各個(gè)子系統(tǒng)建立會(huì)話(huà)，用戶(hù)與sso認(rèn)證中心建立的會(huì)話(huà)稱(chēng)為全局會(huì)話(huà)，用戶(hù)與各個(gè)子系統(tǒng)建立的會(huì)話(huà)稱(chēng)為局部會(huì)話(huà)，局部會(huì)話(huà)建立之后，用戶(hù)訪問(wèn)子系統(tǒng)受保護(hù)資源將不再通過(guò)sso認(rèn)證中心，全局會(huì)話(huà)與局部會(huì)話(huà)有如下約束關(guān)系

1. 局部會(huì)話(huà)存在，全局會(huì)話(huà)一定存在
2. 全局會(huì)話(huà)存在，局部會(huì)話(huà)不一定存在
3. 全局會(huì)話(huà)銷(xiāo)毀，局部會(huì)話(huà)必須銷(xiāo)毀

　　你可以通過(guò)博客園、百度、csdn、淘寶等網(wǎng)站的登錄過(guò)程加深對(duì)單點(diǎn)登錄的理解，注意觀察登錄過(guò)程中的跳轉(zhuǎn)url與參數(shù)

2、注銷(xiāo)

　　單點(diǎn)登錄自然也要單點(diǎn)注銷(xiāo)，在一個(gè)子系統(tǒng)中注銷(xiāo)，所有子系統(tǒng)的會(huì)話(huà)都將被銷(xiāo)毀，用下面的圖來(lái)說(shuō)明

　　sso認(rèn)證中心一直監(jiān)聽(tīng)全局會(huì)話(huà)的狀態(tài)，一旦全局會(huì)話(huà)銷(xiāo)毀，監(jiān)聽(tīng)器將通知所有注冊(cè)系統(tǒng)執(zhí)行注銷(xiāo)操作

　　下面對(duì)上圖簡(jiǎn)要說(shuō)明

1. 用戶(hù)向系統(tǒng)1發(fā)起注銷(xiāo)請(qǐng)求
2. 系統(tǒng)1根據(jù)用戶(hù)與系統(tǒng)1建立的會(huì)話(huà)id拿到令牌，向sso認(rèn)證中心發(fā)起注銷(xiāo)請(qǐng)求
3. sso認(rèn)證中心校驗(yàn)令牌有效，銷(xiāo)毀全局會(huì)話(huà)，同時(shí)取出所有用此令牌注冊(cè)的系統(tǒng)地址
4. sso認(rèn)證中心向所有注冊(cè)系統(tǒng)發(fā)起注銷(xiāo)請(qǐng)求
5. 各注冊(cè)系統(tǒng)接收sso認(rèn)證中心的注銷(xiāo)請(qǐng)求，銷(xiāo)毀局部會(huì)話(huà)
6. sso認(rèn)證中心引導(dǎo)用戶(hù)至登錄頁(yè)面

四、部署圖

　　單點(diǎn)登錄涉及sso認(rèn)證中心與眾子系統(tǒng)，子系統(tǒng)與sso認(rèn)證中心需要通信以交換令牌、校驗(yàn)令牌及發(fā)起注銷(xiāo)請(qǐng)求，因而子系統(tǒng)必須集成sso的客戶(hù)端，sso認(rèn)證中心則是sso服務(wù)端，整個(gè)單點(diǎn)登錄過(guò)程實(shí)質(zhì)是sso客戶(hù)端與服務(wù)端通信的過(guò)程，用下圖描述

　　sso認(rèn)證中心與sso客戶(hù)端通信方式有多種，這里以簡(jiǎn)單好用的httpClient為例，web service、rpc、restful api都可以

五、實(shí)現(xiàn)

　　只是簡(jiǎn)要介紹下基于java的實(shí)現(xiàn)過(guò)程，不提供完整源碼，明白了原理，我相信你們可以自己實(shí)現(xiàn)。sso采用客戶(hù)端/服務(wù)端架構(gòu)，我們先看sso-client與sso-server要實(shí)現(xiàn)的功能（下面：sso認(rèn)證中心=sso-server）

　　sso-client

1. 攔截子系統(tǒng)未登錄用戶(hù)請(qǐng)求，跳轉(zhuǎn)至sso認(rèn)證中心
2. 接收并存儲(chǔ)sso認(rèn)證中心發(fā)送的令牌
3. 與sso-server通信，校驗(yàn)令牌的有效性
4. 建立局部會(huì)話(huà)
5. 攔截用戶(hù)注銷(xiāo)請(qǐng)求，向sso認(rèn)證中心發(fā)送注銷(xiāo)請(qǐng)求
6. 接收sso認(rèn)證中心發(fā)出的注銷(xiāo)請(qǐng)求，銷(xiāo)毀局部會(huì)話(huà)

　　sso-server

1. 驗(yàn)證用戶(hù)的登錄信息
2. 創(chuàng)建全局會(huì)話(huà)
3. 創(chuàng)建授權(quán)令牌
4. 與sso-client通信發(fā)送令牌
5. 校驗(yàn)sso-client令牌有效性
6. 系統(tǒng)注冊(cè)
7. 接收sso-client注銷(xiāo)請(qǐng)求，注銷(xiāo)所有會(huì)話(huà)

　　接下來(lái)，我們按照原理來(lái)一步步實(shí)現(xiàn)sso吧！

1、sso-client攔截未登錄請(qǐng)求

　　java攔截請(qǐng)求的方式有servlet、filter、listener三種方式，我們采用filter。在sso-client中新建LoginFilter.java類(lèi)并實(shí)現(xiàn)Filter接口，在doFilter()方法中加入對(duì)未登錄用戶(hù)的攔截

1 2 3 4 5 6 7 8 9 10 11 12

public?void?doFilter(ServletRequest request, ServletResponse response, FilterChain chain)?throws?IOException, ServletException { ????HttpServletRequest req = (HttpServletRequest) request; ????HttpServletResponse res = (HttpServletResponse) response; ????HttpSession session = req.getSession(); ????? ????if?(session.getAttribute("isLogin")) { ????????chain.doFilter(request, response); ????????return; ????} ????//跳轉(zhuǎn)至sso認(rèn)證中心 ????res.sendRedirect("sso-server-url-with-system-url"); }

2、sso-server攔截未登錄請(qǐng)求

　　攔截從sso-client跳轉(zhuǎn)至sso認(rèn)證中心的未登錄請(qǐng)求，跳轉(zhuǎn)至登錄頁(yè)面，這個(gè)過(guò)程與sso-client完全一樣

3、sso-server驗(yàn)證用戶(hù)登錄信息

　　用戶(hù)在登錄頁(yè)面輸入用戶(hù)名密碼，請(qǐng)求登錄，sso認(rèn)證中心校驗(yàn)用戶(hù)信息，校驗(yàn)成功，將會(huì)話(huà)狀態(tài)標(biāo)記為“已登錄”

1 2 3 4 5 6

@RequestMapping("/login") public?String login(String username, String password, HttpServletRequest req) { ????this.checkLoginInfo(username, password); ????req.getSession().setAttribute("isLogin",?true); ????return?"success"; }

4、sso-server創(chuàng)建授權(quán)令牌

　　授權(quán)令牌是一串隨機(jī)字符，以什么樣的方式生成都沒(méi)有關(guān)系，只要不重復(fù)、不易偽造即可，下面是一個(gè)例子

1	String token = UUID.randomUUID().toString();

5、sso-client取得令牌并校驗(yàn)

　　sso認(rèn)證中心登錄后，跳轉(zhuǎn)回子系統(tǒng)并附上令牌，子系統(tǒng)（sso-client）取得令牌，然后去sso認(rèn)證中心校驗(yàn)，在LoginFilter.java的doFilter()中添加幾行

1 2 3 4 5 6 7 8 9 10 11

// 請(qǐng)求附帶token參數(shù) String token = req.getParameter("token"); if?(token !=?null) { ????// 去sso認(rèn)證中心校驗(yàn)token ????boolean?verifyResult =?this.verify("sso-server-verify-url", token); ????if?(!verifyResult) { ????????res.sendRedirect("sso-server-url"); ????????return; ????} ????chain.doFilter(request, response); }

　　verify()方法使用httpClient實(shí)現(xiàn)，這里僅簡(jiǎn)略介紹，httpClient詳細(xì)使用方法請(qǐng)參考官方文檔

1 2	HttpPost httpPost =?new?HttpPost("sso-server-verify-url-with-token"); HttpResponse httpResponse = httpClient.execute(httpPost);

6、sso-server接收并處理校驗(yàn)令牌請(qǐng)求

　　用戶(hù)在sso認(rèn)證中心登錄成功后，sso-server創(chuàng)建授權(quán)令牌并存儲(chǔ)該令牌，所以，sso-server對(duì)令牌的校驗(yàn)就是去查找這個(gè)令牌是否存在以及是否過(guò)期，令牌校驗(yàn)成功后sso-server將發(fā)送校驗(yàn)請(qǐng)求的系統(tǒng)注冊(cè)到sso認(rèn)證中心（就是存儲(chǔ)起來(lái)的意思）

　　令牌與注冊(cè)系統(tǒng)地址通常存儲(chǔ)在key-value數(shù)據(jù)庫(kù)（如redis）中，redis可以為key設(shè)置有效時(shí)間也就是令牌的有效期。redis運(yùn)行在內(nèi)存中，速度非常快，正好sso-server不需要持久化任何數(shù)據(jù)。

　　令牌與注冊(cè)系統(tǒng)地址可以用下圖描述的結(jié)構(gòu)存儲(chǔ)在redis中，可能你會(huì)問(wèn)，為什么要存儲(chǔ)這些系統(tǒng)的地址？如果不存儲(chǔ)，注銷(xiāo)的時(shí)候就麻煩了，用戶(hù)向sso認(rèn)證中心提交注銷(xiāo)請(qǐng)求，sso認(rèn)證中心注銷(xiāo)全局會(huì)話(huà)，但不知道哪些系統(tǒng)用此全局會(huì)話(huà)建立了自己的局部會(huì)話(huà)，也不知道要向哪些子系統(tǒng)發(fā)送注銷(xiāo)請(qǐng)求注銷(xiāo)局部會(huì)話(huà)

7、sso-client校驗(yàn)令牌成功創(chuàng)建局部會(huì)話(huà)

　　令牌校驗(yàn)成功后，sso-client將當(dāng)前局部會(huì)話(huà)標(biāo)記為“已登錄”，修改LoginFilter.java，添加幾行

1 2 3

if?(verifyResult) { ????session.setAttribute("isLogin",?true); }

　　sso-client還需將當(dāng)前會(huì)話(huà)id與令牌綁定，表示這個(gè)會(huì)話(huà)的登錄狀態(tài)與令牌相關(guān)，此關(guān)系可以用java的hashmap保存，保存的數(shù)據(jù)用來(lái)處理sso認(rèn)證中心發(fā)來(lái)的注銷(xiāo)請(qǐng)求

8、注銷(xiāo)過(guò)程

　　用戶(hù)向子系統(tǒng)發(fā)送帶有“l(fā)ogout”參數(shù)的請(qǐng)求（注銷(xiāo)請(qǐng)求），sso-client攔截器攔截該請(qǐng)求，向sso認(rèn)證中心發(fā)起注銷(xiāo)請(qǐng)求

1 2 3 4

String logout = req.getParameter("logout"); if?(logout !=?null) { ????this.ssoServer.logout(token); }

　　sso認(rèn)證中心也用同樣的方式識(shí)別出sso-client的請(qǐng)求是注銷(xiāo)請(qǐng)求（帶有“l(fā)ogout”參數(shù)），sso認(rèn)證中心注銷(xiāo)全局會(huì)話(huà)

1 2 3 4 5 6 7 8

@RequestMapping("/logout") public?String logout(HttpServletRequest req) { ????HttpSession session = req.getSession(); ????if?(session !=?null) { ????????session.invalidate();//觸發(fā)LogoutListener ????} ????return?"redirect:/"; }

　　sso認(rèn)證中心有一個(gè)全局會(huì)話(huà)的監(jiān)聽(tīng)器，一旦全局會(huì)話(huà)注銷(xiāo)，將通知所有注冊(cè)系統(tǒng)注銷(xiāo)

1 2 3 4 5 6 7 8

public?class?LogoutListener?implements?HttpSessionListener { ????@Override ????public?void?sessionCreated(HttpSessionEvent event) {} ????@Override ????public?void?sessionDestroyed(HttpSessionEvent event) { ????????//通過(guò)httpClient向所有注冊(cè)系統(tǒng)發(fā)送注銷(xiāo)請(qǐng)求 ????} }

（完）

轉(zhuǎn)載于:https://www.cnblogs.com/zjITgrow/p/7062172.html

總結(jié)

以上是生活随笔為你收集整理的[转]单点登录原理与简单实现的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。