借助xxl-sso实现SSO

前言

市场上一下主流的SSO技术搭配方案:

  1. SpringSecurity + OAuth2
  2. SpringSecurity + CAS 功能较弱,对前后端分离的项目支持不是很好
  3. Shiro + CAS
  4. JWT 可以自定义需求,灵活扩展鉴权方式

本篇主要是单点登录,不涉及鉴权,后面文章会再补充

xxl-sso 是一个国产 SSO 框架,基于 cookies 实现,也许你会考虑跨域问题,虽然 cookies 本身不跨域,但可以利用它实现跨域的 SSO。

1、拉取官方示例项目

gitee地址:https://gitee.com/xuxueli0323/xxl-sso
github地址:https://github.com/xuxueli/xxl-sso

模块说明:
  • xxl-sso-server:中央认证服务,支持集群
  • xxl-sso-core:Client端依赖
  • xxl-sso-samples:单点登陆Client端接入示例项目
    • xxl-sso-web-sample-springboot:基于Cookie接入方式,供用户浏览器访问,springboot版本
    • xxl-sso-token-sample-springboot:基于Token接入方式,常用于无法使用Cookie的场景使用,如APP、Cookie被禁用等,springboot版本
依赖环境:

JDK:1.7+
Redis:4.0+

修改本地host:
127.0.0.1 xxlssoserver.com
127.0.0.1 xxlssoclient1.com
127.0.0.1 xxlssoclient2.com
导入项目后启动:

修改 application.properties redis为本地地址后启动 xxl-sso-server:

### xxl-sso
xxl.sso.redis.address=redis://127.0.0.1:6378
xxl.sso.redis.expire.minite=1440

完美报错,如果你跟我上图一样,那么说明你的 redis 设置了密码,这个官方示例代码是没有配置 redis 密码的,看控制台:

我们可以看到初始化时用到了 redis 的本地地址,那么只需要知道在哪用了这个地址,那么肯定就会有设置密码的地方。

果不其然,我们最终发现了,地址是通过 JedisShardInfo 这个对象传递进去的,进入这个对象后发现,竟然有个 password?这不就是我们要找的密码吗。

再次启动,成功启动。

同样的修改 xxl-sso-samples > xxl-sso-web-samples-sprigboot 的 properties 然后再启动。

2、认证流程

客户端端口号被我改成8085,认证中心保持默认端口号8080

届时,我们启动了两个项目,浏览器访问第一个域名:http://xxlssoclient1.com:8085/xxl-sso-web-sample-springboot

我们可以看到访问后将被重定向到认证中心 http://xxlssoserver.com:8080/xxl-sso-server ,后面携带参数 redirect_url ,其为界面跳转前的链接,认证通过后将再次重定向回原来的访问链接。

上图为认证成功后的图片,会携带 xxl_sso_sessionid,其用于识别用户登陆信息,并会保存至本地两份 cookie,皆用来保存 xxl_sso_sessionid ,一份当前域名(xxlssoclient1.com),一份认证中心(xxlssoserver.com)。

保存的两份 xxl_sso_sessionid 值是一样的。

xxl_sso_sessionid由来

在上图中的认证界面,点击登录后会调用 WebController > doLogin 方法,用户登录成功后会生成该用户的 xxl_sso_sessionid 信息,并保存至 redis 中,同时会把 xxl_sso_sessionid 写入客户端 cookie,然后将重定向到 redirect_url,并拼接 xxl_sso_sessionid 参数,如下图所示。

我们再来访问第二个客户端试试,http://xxlssoclient2.com:8085/xxl-sso-web-sample-springboot,就目前并未向 http://xxlssoclient2.com:8085 写入任何有关 cookie 用户会话信息:

神奇的一幕发生了,显然2号客户端也成功登陆了,并携带了跟客户端1一样的 xxl_sso_sessionid 信息,我们再来看一下 cookie 信息:

xxlssoclient2.com中的xxl_sso_sessionid哪里来的?

其实通过 debug 发现,在 xxlssoclient1.com 登陆的前提下,再去访问 xxlssoclient2.com 时,由于没有任何登陆信息同样也是首先会跳转至认证中心:

还记得客户端1登陆后在认证中心 xxlssoserver.com 同样留下 xxl_sso_sessionid 信息吗?

显然,客户端2号再跳转过来时复用了认证中心的 xxl_sso_sessionid,然后发现存在 xxl_sso_sessionid,且 xxl_sso_sessionid 在 redis 里也没过期,则认为用户已经登陆了,重新重定向到 xxlssoclient2.com

退出操作

看完了统一登录,再来看一下退出操作。

退出相对就比较简单了,主要就是验证 redis 中的 xxl_sso_sessionid,我们来看一下退出方法:

首先调用退出方法后会清空当前网站的 cookie、redis 中的 xxl_sso_sessionid,比如在 xxlssoclient1.com、xxlssoclient2.com 都登陆的情况下,通过 xxlssoclient2.com 退出当前用户,则首先会清空 xxlssoclient2.com 站点下的 cookie ,同时后台也会清空当前用户的 redis,那么再通过 xxlssoclient1.com 访问时,尽管携带 xxl_sso_sessionid,但此时该信息已经过期,所以会再次重定向认证中心。

xxl-sso小结

如上为 xxl-sso 架构图,其核心为:

sso-server:中央认证服务
sso-client:接入 sso 认证中心的客户端应用
sso-sessionId:登陆用户会话ID,SSO 登陆成功后为用户自动分配
sso-user:登陆用户信息,与 SSO sessionId 相对应

登陆流程剖析:
  1. 客户端访问受限资源时,将会自动重定向到 SSO Server 进入统一登录界面
  2. 用户登录成功之后将会为用户分配 SSO SessionId 并重定向返回来源客户端端应用,同时附带分配的 SSO SessionId
  3. 在客户端的 SSO 过滤器里验证 SSO SessionId 无误,将 SSO SessionId 写入到用户浏览器客户端域名下 cookie 中
  4. SSO 过滤器验证 SSO SessionId 通过,受限资源请求放行
注销流程剖析:
  1. 用户在客户端应用请求注销时,将会重定向到 SSO Server 自动销毁全局 SSO SessionId,实现全局销毁用户登陆信息;
  2. 然后,访问接入SSO 保护的任意客户端应用时,SSO 过滤器均会拦截请求并重定向到 SSO Server 的统一登录界面;

至此,通过 cookie+redis 解决了多端统一认证,全局 sessionId 解决了 session 共享的问题。

基于Cookie,相关概念
  • 登陆凭证存储:登陆成功后,用户登陆凭证被自动存储在浏览器Cookie中
  • 客户端校验登陆状态:通过校验请求Cookie中的是否包含用户登录凭证判断
  • 系统角色模型:
    -- SSO Server:认证中心,提供用户登陆、注销以及登陆状态校验等功能
    -- 客户端应用:受SSO保护的客户端Web应用,为用户浏览器访问提供服务
    -- 用户:发起请求的用户,使用浏览器访问

如果 Cookie 被禁用怎么办?

xxl-sso 同样提供了 基于 token 接入方式,用于无法使用Cookie的场景使用,如APP、Cookie被禁用等,详细可参考 xxl-sso-token-sample-springboot 项目。

基于Token,相关概念
  • 登陆凭证存储:登陆成功后,获取到登录凭证(xxl_sso_sessionid=xxx),需要主动存储,如存储在 localStorage、Sqlite 中
  • 客户端校验登陆状态:通过校验请求 Header参数 中的是否包含用户登录凭证(xxl_sso_sessionid=xxx)判断;因此,发送请求时需要在 Header 参数 中设置登陆凭证
  • 系统角色模型:
    -- SSO Server:认证中心,提供用户登陆、注销以及登陆状态校验等功能
    --客户端应用:受SSO保护的客户端Web应用,为用户请求提供接口服务
    -- 用户:发起请求的用户,如使用Android、IOS、桌面客户端等请求访问

更多信息请访问官方文档:http://www.xuxueli.com/xxl-sso/#/

后面会写一篇实际项目中接入 xxl-sso 框架的实例。

我创建了一个java相关的公众号,用来记录自己的学习之路,感兴趣的小伙伴可以关注一下微信公众号哈:niceyoo

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/414226.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C语言数组初始化的问题

转载于:https://www.cnblogs.com/chulin/p/8880184.html

blocked by CORS policy,是否跨域?

经排查不是跨域的问题,代码报错,改好就解决了 2021.10.20 项目上线又报错,测试环境一直没问题,上线了就报这个错,如果是前端代码的问题,那么使用测试接口的时候肯定也会报这个错,所以排除前端代…

那些一眼就被看出包装过的简历

本文作者:Coody原文链接:https://my.oschina.net/hooker/blog/3014656 前言 在互联网极速膨胀的社会背景下,各行各业涌入互联网的IT民工日益增大。 早在2016年,我司发布了Java、Ios工程师的招聘信息,就Java工程师单个岗…

sql 查询优化小计

好久没更博了,偷偷的抽时间写一下。 早上开始working的时候,发现一个页面加载很慢,经排查是昨天写的一条联合查询的sql导致的。于是着手优化! 首先想到的是在join的时候,减少表体积之后再进行关联,于是有了…

微信支付宝扫一扫进入小程序的相关配置

需求: 微信小程序和支付宝小程序,用微信和支付宝扫同一个普通二维码,支付宝扫码进入支付宝小程序指定页面,微信扫码进入微信小程序的指定页面。解决办法: 微信公众平台和支付宝开放平台都有自己的二维码配置规则。配置相同的规则,然后用配置的二维码地址加上参数,用草料…

重温Elasticsearch

什么是 Elasticsearch ? Elasticsearch (ES) 是一个基于 Lucene 构建的开源、分布式、RESTful 接口全文搜索引擎。还是一个分布式文档数据库,其中每个字段均是被索引的数据且可被搜索,它能够扩展至数以百计的服务器存储以及处理PB级的数据。它…

unity之中级工程师

主要是实际操作。 Destroy(游戏对象):会真正销毁游戏对象。 动态链接库 热更新:用户不需要更新整个项目,只需要更新需要更新的部分,使用AssetBundle。PC,Android可以使用逻辑热更新,将脚本利用反射打包成一个动态链接库…

芝麻信用综合评估未通过,请选择商户支持的其他方式使用服务

如题:公司小程序发布上线的时候报这个错,因为在测试接口的时候都是可用的,发布上线之后不行了,官方的案例及解决方案地址是:点击链接 给出的大致原因如下: 因为在测试接口时能正常使用,所以排除…

elasticsearch集群搭建-windows

1、下载elasticsearch到本地并解压 下载地址: https://www.elastic.co/cn/downloads/elasticsearch 解压之后复制两份,node1当作主节点,node2、node3当作从节点 2、修改主节点配置文件 而我们只需要修改 /config 目录下的 elasticsearch.yml …

vue如何新建一个项目(超详细哦--转)

原文链接 vue创建项目(npm安装→初始化项目) 第一步npm安装 首先:先从nodejs.org中下载nodejs 双击安装,在安装界面一直Next 直到Finish完成安装。 打开控制命令行程序(CMD),检查是否正常 使用淘宝NPM …

传统ELK分布式日志收集的缺点?

传统ELK图示: 单纯使用ElK实现分布式日志收集缺点? 1、logstash太多了,扩展不好。 如上图这种形式就是一个 tomcat 对应一个 logstash,新增一个节点就得同样的拥有 logstash,可以说很浪费了。 2、读取IO文件&#xff0…

微信支付分开发流程

公司要用支付分信用免押功能,于是着手开发。 首先要与微信的技术人员对接,申请支付分功能,申请成功之后,会给商户发送服务ID;等1到3个工作日内自行登录商户平台查看是否有开通成功,如果3个工作日依旧没有支…

运行银联支付系统demo

1、Demo下载 下载地址:https://open.unionpay.com/tjweb/acproduct/list?apiservId448 2、导入项目 注意:非maven项目,在导入idea、或者eclipse时请留意导入方式 3、修改配置 acp_sdk.properties 将backUrl、frontUrl修改为外网可访问的路径…

结对编程收获

结对编程收获 ——我和我的伙伴分到了Core组,他负责生成编写四则运算表达式函数,而我负责编写计算函数以及整体框架和接口 这一次结对编程不仅学到了不少编程技术,更在交流合作中发现了自己以往的问题,因为我一直以来是一个偏爱独…

Springboot整合ActiveMQ发送邮件

虽然ActiveMQ以被其他MQ所替代,但仍有学习的意义,本文采用邮件发送的例子展示ActiveMQ 文章目录1. 生产者1.1 引入maven依赖1.2 application.yml配置1.3 创建配置类ConfigQueue1.4 创建生产者类Producer1.5 启动类AppProducer2. 消费者2.1 引入maven依赖…

PHPStudy集成环境下使用laravel框架报错ERR_CONNECTION_REFUSED

环境:php7.2mysqlapachelaravel5.5 因为要搞个新项目,用了laravel,不是很熟悉这个框架,还用了laravel-admin后台系统,配置本地虚拟域名的时候,映射始终报错,能访问到项目跟目录,但是…

MQTT客户端库-Paho GO

为了加深理解,本文是翻译文章。原文地址 Paho GO Client   语言  GO协议EPL AND EDL官网地址http://www.eclipse.org/paho/API类型Asynchronous 描述 回到2013年10月,我转到了关于其他Paho MQTT客户端库的编写,并选择了作为一种新的语言去…

RabbitMQ简单介绍+Windows环境安装

文章目录 文章目录文章目录1、RabbitMQ简介2、RabbitMQ与其他MQ有什么不同3、RabbitMQ环境安装3.1 安装erlang3.2 安装rabbitmq-server4. RabbitMQ管理平台介绍1、RabbitMQ简介 RabbitMQ 是一个由 erlang 开发的 AMQP(Advanced Message Queue )的开源实…

intellij idea 在Java控制台报java: 错误: 无效的源发行版:16

一共有三个地方要设置 第一个地方File->Project Structure->Project,全部修改为对应的JDK版本,例如如果是1.8,language level就选择8对应的包, 第二个地方File->Project Structure->Modules 也有个language level,一…

RabbitMQ六种队列模式-主题模式

前言 RabbitMQ六种队列模式-简单队列 RabbitMQ六种队列模式-工作队列 RabbitMQ六种队列模式-发布订阅 RabbitMQ六种队列模式-路由模式 RabbitMQ六种队列模式-主题模式 [本文] 从前面的几篇我们依次经历了 exchange 模式从 fanout > direct 的转变过程,在 fanout …