什么是单点登录(SSO)

前言

只有光头才能变强。

文本已收录至我的github仓库，欢迎star：https://github.com/zhongfucheng3y/3y

在我实习之前我就已经在看单点登录的是什么了，但是实习的时候一直在忙其他的事，所以有几个网站就一直躺在我的收藏夹里边：

在前阵子有个读者来我这投稿，是使用jwt实现单点登录的（但是文章中并没有介绍什么是单点登录），所以我觉得是时候来整理一下了。

• 简单代码实现jwt(json web token)完成sso单点登录

一、什么是单点登录？

单点登录的英文名叫做：single sign on（简称sso）。

在初学/以前的时候，一般我们就单系统，所有的功能都在同一个系统上。

后来，我们为了合理利用资源和降低耦合性，于是把单系统拆分成多个子系统。

• 回顾：分布式基础知识

比如阿里系的淘宝和天猫，很明显地我们可以知道这是两个系统，但是你在使用的时候，登录了天猫，淘宝也会自动登录。

简单来说，单点登录就是在多个系统中，用户只需一次登录，各个系统即可感知该用户已经登录。

二、回顾单系统登录

在我初学javaweb的时候，登录和注册是我做得最多的一个功能了（初学servlet的时候做过、学springmvc的时候做过、跟着做项目的时候做过…），反正我也数不清我做了多少次登录和注册的功能了...这里简单讲述一下我们初学时是怎么做登录功能的。

众所周知，http是无状态的协议，这意味着服务器无法确认用户的信息。于是乎，w3c就提出了：给每一个用户都发一个通行证，无论谁访问的时候都需要携带通行证，这样服务器就可以从通行证上确认用户的信息。通行证就是cookie。

如果说cookie是检查用户身上的”通行证“来确认用户的身份，那么session就是通过检查服务器上的”客户明细表“来确认用户的身份的。session相当于在服务器中建立了一份“客户明细表”。

http协议是无状态的，session不能依据http连接来判断是否为同一个用户。于是乎：服务器向用户浏览器发送了一个名为jessionid的cookie，它的值是session的id值。其实session是依据cookie来识别是否是同一个用户。

所以，一般我们单系统实现登录会这样做：

• 登录：将用户信息保存在session对象中
  • 如果在session对象中能查到，说明已经登录
  • 如果在session对象中查不到，说明没登录（或者已经退出了登录）
• 注销（退出登录）：从session中删除用户的信息
• 记住我（关闭掉浏览器后，重新打开浏览器还能保持登录状态）：配合cookie来用

我之前demo的代码，可以参考一下：

 /**
 * 用户登陆
 */
@postmapping(value = "/user/session", produces = {"application/json;charset=utf-8"})
public result login(string mobileno, string password, string inputcaptcha, httpsession session, httpservletresponse response) {

    //判断验证码是否正确
    if (webutils.validatecaptcha(inputcaptcha, "captcha", session)) {

        //判断有没有该用户
        user user = userservice.userlogin(mobileno, password);
        if (user != null) {
            /*设置自动登陆，一个星期.  将token保存在数据库中*/
            string logintoken = webutils.md5(new date().tostring() + session.getid());
            user.setlogintoken(logintoken);
            user user1 = userservice.userupload(user);

            session.setattribute("user", user1);

            cookieutil.addcookie(response,"logintoken",logintoken,604800);

            return resultutil.success(user1);

        } else {
            return resultutil.error(resultenum.login_error);
        }
    } else {
        return resultutil.error(resultenum.captcha_error);
    }

}

/**
 * 用户退出
 */
@deletemapping(value = "/session", produces = {"application/json;charset=utf-8"})
public result logout(httpsession session,httpservletrequest request,httpservletresponse response ) {

    //删除session和cookie
    session.removeattribute("user");

    cookieutil.clearcookie(request, response, "logintoken");

    return resultutil.success();
}
/**
* @author ozc
* @version 1.0
* <p>
* 拦截器；实现自动登陆功能
*/
public class userinterceptor implements handlerinterceptor {


@autowired
private userservice userservice;

public boolean prehandle(httpservletrequest request, httpservletresponse response, object o) throws exception {
    user sessionuser = (user) request.getsession().getattribute("user");

    // 已经登陆了，放行
    if (sessionuser != null) {
        return true;
    } else {
        //得到带过来cookie是否存在
        string logintoken = cookieutil.findcookiebyname(request, "logintoken");
        if (stringutils.isnotblank(logintoken)) {
            //到数据库查询有没有该cookie
            user user = userservice.finduserbylogintoken(logintoken);
            if (user != null) {
                request.getsession().setattribute("user", user);
                return true;
            } else {
                //没有该cookie与之对应的用户(cookie不匹配)
                cookieutil.clearcookie(request, response, "logintoken");
                return false;
            }
        } else {

            //没有cookie、也没有登陆。是index请求获取用户信息，可以放行
            if (request.getrequesturi().contains("session")) {
                return true;
            }

            //没有cookie凭证
            response.sendredirect("/login.html");
            return false;
        }
    }
}
}

总结一下上面代码的思路：

• 用户登录时，验证用户的账户和密码
• 生成一个token保存在数据库中，将token写到cookie中
• 将用户数据保存在session中
• 请求时都会带上cookie，检查有没有登录，如果已经登录则放行

如果没看懂的同学，建议回顾session和cookie和http：

• 介绍会话技术、cookie的api、详解、应用
• session介绍、api、生命周期、应用、与cookie区别
• 什么是http

三、多系统登录的问题与解决

3.1 session不共享问题

单系统登录功能主要是用session保存用户信息来实现的，但我们清楚的是：多系统即可能有多个tomcat，而session是依赖当前系统的tomcat，所以系统a的session和系统b的session是不共享的。

解决系统之间session不共享问题有一下几种方案：

• tomcat集群session全局复制（集群内每个tomcat的session完全同步）【会影响集群的性能呢，不建议】
• 根据请求的ip进行hash映射到对应的机器上（这就相当于请求的ip一直会访问同一个服务器）【如果服务器宕机了，会丢失了一大部分session的数据，不建议】
• 把session数据放在redis中（使用redis模拟session）【建议】
  • 如果还不了解redis的同学，建议移步（redis合集）

我们可以将登录功能单独抽取出来，做成一个子系统。

sso（登录系统）的逻辑如下：

// 登录功能(sso单独的服务)
@override
public taotaoresult login(string username, string password) throws exception {
    
    //根据用户名查询用户信息
    tbuserexample example = new tbuserexample();
    criteria criteria = example.createcriteria();
    criteria.andusernameequalto(username);
    list<tbuser> list = usermapper.selectbyexample(example);
    if (null == list || list.isempty()) {
        return taotaoresult.build(400, "用户不存在");
    }
    //核对密码
    tbuser user = list.get(0);
    if (!digestutils.md5digestashex(password.getbytes()).equals(user.getpassword())) {
        return taotaoresult.build(400, "密码错误");
    }
    //登录成功，把用户信息写入redis
    //生成一个用户token
    string token = uuid.randomuuid().tostring();
    jediscluster.set(user_token_key + ":" + token, jsonutils.objecttojson(user));
    //设置session过期时间
    jediscluster.expire(user_token_key + ":" + token, session_expire_time);
    return taotaoresult.ok(token);
}

其他子系统登录时，请求sso（登录系统）进行登录，将返回的token写到cookie中，下次访问时则把cookie带上：

public taotaoresult login(string username, string password, 
        httpservletrequest request, httpservletresponse response) {
    //请求参数
    map<string, string> param = new hashmap<>();
    param.put("username", username);
    param.put("password", password);
    //登录处理
    string stringresult = httpclientutil.dopost(register_user_url + user_login_url, param);
    taotaoresult result = taotaoresult.format(stringresult);
    //登录出错
    if (result.getstatus() != 200) {
        return result;
    }
    //登录成功后把取token信息，并写入cookie
    string token = (string) result.getdata();
    //写入cookie
    cookieutils.setcookie(request, response, "tt_token", token);
    //返回成功
    return result;
    
}

总结：

• sso系统生成一个token，并将用户信息存到redis中，并设置过期时间
• 其他系统请求sso系统进行登录，得到sso返回的token，写到cookie中
• 每次请求时，cookie都会带上，拦截器得到token，判断是否已经登录

到这里，其实我们会发现其实就两个变化：

• 将登陆功能抽取为一个系统（sso），其他系统请求sso进行登录
• 本来将用户信息存到session，现在将用户信息存到redis

3.2 cookie跨域的问题

上面我们解决了session不能共享的问题，但其实还有另一个问题。cookie是不能跨域的

比如说，我们请求<https://www.google.com/>时，浏览器会自动把google.com的cookie带过去给google的服务器，而不会把<https://www.baidu.com/>的cookie带过去给google的服务器。

这就意味着，由于域名不同，用户向系统a登录后，系统a返回给浏览器的cookie，用户再请求系统b的时候不会将系统a的cookie带过去。

针对cookie存在跨域问题，有几种解决方案：

1. 服务端将cookie写到客户端后，客户端对cookie进行解析，将token解析出来，此后请求都把这个token带上就行了
2. 多个域名共享cookie，在写到客户端的时候设置cookie的domain。
3. 将token保存在sessionstroage中（不依赖cookie就没有跨域的问题了）

到这里，我们已经可以实现单点登录了。

3.3 cas原理

说到单点登录，就肯定会见到这个名词：cas （central authentication service），下面说说cas是怎么搞的。

如果已经将登录单独抽取成系统出来，我们还能这样玩。现在我们有两个系统，分别是www.java3y.com和www.java4y.com，一个ssowww.sso.com

首先，用户想要访问系统awww.java3y.com受限的资源(比如说购物车功能，购物车功能需要登录后才能访问)，系统awww.java3y.com发现用户并没有登录，于是重定向到sso认证中心，并将自己的地址作为参数。请求的地址如下：

• www.sso.com?service=www.java3y.com

sso认证中心发现用户未登录，将用户引导至登录页面，用户进行输入用户名和密码进行登录，用户与认证中心建立全局会话（生成一份token，写到cookie中，保存在浏览器上）

随后，认证中心重定向回系统a，并把token携带过去给系统a，重定向的地址如下：

• www.java3y.com?token=xxxxxxx

接着，系统a去sso认证中心验证这个token是否正确，如果正确，则系统a和用户建立局部会话（创建session）。到此，系统a和用户已经是登录状态了。

此时，用户想要访问系统bwww.java4y.com受限的资源(比如说订单功能，订单功能需要登录后才能访问)，系统bwww.java4y.com发现用户并没有登录，于是重定向到sso认证中心，并将自己的地址作为参数。请求的地址如下：

• www.sso.com?service=www.java4y.com

注意，因为之前用户与认证中心www.sso.com已经建立了全局会话（当时已经把cookie保存到浏览器上了），所以这次系统b重定向到认证中心www.sso.com是可以带上cookie的。

认证中心根据带过来的cookie发现已经与用户建立了全局会话了，认证中心重定向回系统b，并把token携带过去给系统b，重定向的地址如下：

• www.java4y.com?token=xxxxxxx

接着，系统b去sso认证中心验证这个token是否正确，如果正确，则系统b和用户建立局部会话（创建session）。到此，系统b和用户已经是登录状态了。

看到这里，其实sso认证中心就类似一个中转站。

参考资料：

• <https://www.cnblogs.com/ezrealliu/p/5559255.html>

最后

乐于输出干货的java技术公众号：java3y。公众号内有200多篇原创技术文章、海量视频资源、精美脑图，关注即可获取！

觉得我的文章写得不错，点赞！