終于有人把 "單點" 登錄說清楚了！

一、單系統登錄機制

1、http無狀態協議

web應用采用browser/server架構，http作為通信協議，http是無狀態協議，瀏覽器的每一次請求，服務器會獨立處理，不與之前或之后的請求產生關聯，這個程序用下圖說明，三次請求/回應對之間沒有任何聯系，

但這也同時意味著，任何用戶都能通過瀏覽器訪問服務器資源，如果想保護服務器的某些資源，必須限制瀏覽器請求；要限制瀏覽器請求，必須鑒別瀏覽器請求，回應合法請求，忽略非法請求；要鑒別瀏覽器請求，必須清楚瀏覽器請求狀態，既然http協議無狀態，那就讓服務器和瀏覽器共同維護一個狀態吧！這就是會話機制，

2、會話機制

瀏覽器第一次請求服務器，服務器創建一個會話，并將會話的id作為回應的一部分發送給瀏覽器，瀏覽器存盤會話id，并在后續第二次和第三次請求中帶上會話id，服務器取得請求中的會話id就知道是不是同一個用戶了，這個程序用下圖說明，后續請求與第一次請求產生了關聯，

服務器在記憶體中保存會話物件，瀏覽器怎么保存會話id呢？你可能會想到兩種方式

1. 請求引數
2. cookie

將會話id作為每一個請求的引數，服務器接收請求自然能決議引數獲得會話id，并借此判斷是否來自同一會話，很明顯，這種方式不靠譜，那就瀏覽器自己來維護這個會話id吧，每次發送http請求時瀏覽器自動發送會話id，cookie機制正好用來做這件事，

cookie是瀏覽器用來存盤少量資料的一種機制，資料以”key/value“形式存盤，瀏覽器發送http請求時自動附帶cookie資訊，

tomcat會話機制當然也實作了cookie，訪問tomcat服務器時，瀏覽器中可以看到一個名為“JSESSIONID”的cookie，這就是tomcat會話機制維護的會話id，使用了cookie的請求回應程序如下圖：

3、登錄狀態

有了會話機制，登錄狀態就好明白了，我們假設瀏覽器第一次請求服務器需要輸入用戶名與密碼驗證身份，服務器拿到用戶名密碼去資料庫比對，正確的話說明當前持有這個會話的用戶是合法用戶，應該將這個會話標記為“已授權”或者“已登錄”等等之類的狀態，既然是會話的狀態，自然要保存在會話物件中，tomcat在會話物件中設定登錄狀態如下：

HttpSession session = request.getSession();
session.setAttribute("isLogin", true);

用戶再次訪問時，tomcat在會話物件中查看登錄狀態：

HttpSession session = request.getSession();
session.getAttribute("isLogin");

實作了登錄狀態的瀏覽器請求服務器模型如下圖描述

每次請求受保護資源時都會檢查會話物件中的登錄狀態，只有 isLogin=true 的會話才能訪問，登錄機制因此而實作，

二、多系統的復雜性

web系統早已從久遠的單系統發展成為如今由多系統組成的應用群，面對如此眾多的系統，用戶難道要一個一個登錄、然后一個一個注銷嗎？就像下圖描述的這樣

web系統由單系統發展成多系統組成的應用群，復雜性應該由系統內部承擔，而不是用戶，無論web系統內部多么復雜，對用戶而言，都是一個統一的整體，也就是說，用戶訪問web系統的整個應用群與訪問單個系統一樣，登錄/注銷只要一次就夠了

雖然單系統的登錄解決方案很完美，但對于多系統應用群已經不再適用了，為什么呢？

單系統登錄解決方案的核心是cookie，cookie攜帶會話id在瀏覽器與服務器之間維護會話狀態，但cookie是有限制的，這個限制就是cookie的域（通常對應網站的域名），瀏覽器發送http請求時會自動攜帶與該域匹配的cookie，而不是所有cookie，

既然這樣，為什么不將web應用群中所有子系統的域名統一在一個頂級域名下，例如“*.baidu.com”，然后將它們的cookie域設定為“baidu.com”，這種做法理論上是可以的，甚至早期很多多系統登錄就采用這種同域名共享cookie的方式，

然而，可行并不代表好，共享cookie的方式存在眾多局限，首先，應用群域名得統一；其次，應用群各系統使用的技術（至少是web服務器）要相同，不然cookie的key值（tomcat為JSESSIONID）不同，無法維持會話，共享cookie的方式是無法實作跨語言技術平臺登錄的，比如java、php、.net系統之間；第三，cookie本身不安全，

因此，我們需要一種全新的登錄方式來實作多系統應用群的登錄，這就是單點登錄，

三、單點登錄

什么是單點登錄？單點登錄全稱Single Sign On（以下簡稱SSO），是指在多系統應用群中登錄一個系統，便可在其他所有系統中得到授權而無需再次登錄，包括單點登錄與單點注銷兩部分

1、登錄

相比于單系統登錄，sso需要一個獨立的認證中心，只有認證中心能接受用戶的用戶名密碼等安全資訊，其他系統不提供登錄入口，只接受認證中心的間接授權，

間接授權通過令牌實作，sso認證中心驗證用戶的用戶名密碼沒問題，創建授權令牌，在接下來的跳轉程序中，授權令牌作為引數發送給各個子系統，子系統拿到令牌，即得到了授權，可以借此創建區域會話，區域會話登錄方式與單系統的登錄方式相同，這個程序，也就是單點登錄的原理，用下圖說明

下面對上圖簡要描述：

1. 用戶訪問系統1的受保護資源，系統1發現用戶未登錄，跳轉至sso認證中心，并將自己的地址作為引數
2. sso認證中心發現用戶未登錄，將用戶引導至登錄頁面
3. 用戶輸入用戶名密碼提交登錄申請
4. sso認證中心校驗用戶資訊，創建用戶與sso認證中心之間的會話，稱為全域會話，同時創建授權令牌
5. sso認證中心帶著令牌跳轉會最初的請求地址（系統1）
6. 系統1拿到令牌，去sso認證中心校驗令牌是否有效
7. sso認證中心校驗令牌，回傳有效，注冊系統1
8. 系統1使用該令牌創建與用戶的會話，稱為區域會話，回傳受保護資源
9. 用戶訪問系統2的受保護資源
10. 系統2發現用戶未登錄，跳轉至sso認證中心，并將自己的地址作為引數
11. sso認證中心發現用戶已登錄，跳轉回系統2的地址，并附上令牌
12. 系統2拿到令牌，去sso認證中心校驗令牌是否有效
13. sso認證中心校驗令牌，回傳有效，注冊系統2
14. 系統2使用該令牌創建與用戶的區域會話，回傳受保護資源

用戶登錄成功之后，會與sso認證中心及各個子系統建立會話，用戶與sso認證中心建立的會話稱為全域會話，用戶與各個子系統建立的會話稱為區域會話，區域會話建立之后，用戶訪問子系統受保護資源將不再通過sso認證中心，全域會話與區域會話有如下約束關系：

1. 區域會話存在，全域會話一定存在
2. 全域會話存在，區域會話不一定存在
3. 全域會話銷毀，區域會話必須銷毀

你可以通過博客園、百度、csdn、淘寶等網站的登錄程序加深對單點登錄的理解，注意觀察登錄程序中的跳轉url與引數

2、注銷

單點登錄自然也要單點注銷，在一個子系統中注銷，所有子系統的會話都將被銷毀，用下面的圖來說明：

so認證中心一直監聽全域會話的狀態，一旦全域會話銷毀，監聽器將通知所有注冊系統執行注銷操作，

下面對上圖簡要說明：

1. 用戶向系統1發起注銷請求
2. 系統1根據用戶與系統1建立的會話id拿到令牌，向sso認證中心發起注銷請求
3. sso認證中心校驗令牌有效，銷毀全域會話，同時取出所有用此令牌注冊的系統地址
4. sso認證中心向所有注冊系統發起注銷請求
5. 各注冊系統接收sso認證中心的注銷請求，銷毀區域會話
6. sso認證中心引導用戶至登錄頁面

四、部署圖

單點登錄涉及sso認證中心與眾子系統，子系統與sso認證中心需要通信以交換令牌、校驗令牌及發起注銷請求，因而子系統必須集成sso的客戶端，sso認證中心則是sso服務端，整個單點登錄程序實質是sso客戶端與服務端通信的程序，用下圖描述：

sso認證中心與sso客戶端通信方式有多種，這里以簡單好用的httpClient為例，web service、rpc、restful api都可以

五、實作

只是簡要介紹下基于java的實作程序，不提供完整原始碼，明白了原理，我相信你們可以自己實作，sso采用客戶端/服務端架構，我們先看sso-client與sso-server要實作的功能（下面：sso認證中心=sso-server）

sso-client

1. 攔截子系統未登錄用戶請求，跳轉至sso認證中心
2. 接收并存盤sso認證中心發送的令牌
3. 與sso-server通信，校驗令牌的有效性
4. 建立區域會話
5. 攔截用戶注銷請求，向sso認證中心發送注銷請求
6. 接收sso認證中心發出的注銷請求，銷毀區域會話

sso-server

1. 驗證用戶的登錄資訊
2. 創建全域會話
3. 創建授權令牌
4. 與sso-client通信發送令牌
5. 校驗sso-client令牌有效性
6. 系統注冊
7. 接收sso-client注銷請求，注銷所有會話

接下來，我們按照原理來一步步實作sso吧！

1、sso-client攔截未登錄請求

java攔截請求的方式有servlet、filter、listener三種方式，我們采用filter，在sso-client中新建LoginFilter.java類并實作Filter介面，在doFilter()方法中加入對未登錄用戶的攔截：

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;
    HttpSession session = req.getSession();
    
    if (session.getAttribute("isLogin")) {
        chain.doFilter(request, response);
        return;
    }
    //跳轉至sso認證中心
    res.sendRedirect("sso-server-url-with-system-url");
}

2、sso-server攔截未登錄請求

攔截從sso-client跳轉至sso認證中心的未登錄請求，跳轉至登錄頁面，這個程序與sso-client完全一樣

3、sso-server驗證用戶登錄資訊

用戶在登錄頁面輸入用戶名密碼，請求登錄，sso認證中心校驗用戶資訊，校驗成功，將會話狀態標記為“已登錄”

@RequestMapping("/login")
public String login(String username, String password, HttpServletRequest req) {
    this.checkLoginInfo(username, password);
    req.getSession().setAttribute("isLogin", true);
    return "success";
}

4、sso-server創建授權令牌

授權令牌是一串隨機字符，以什么樣的方式生成都沒有關系，只要不重復、不易偽造即可，下面是一個例子

String token = UUID.randomUUID().toString();

5、sso-client取得令牌并校驗

sso認證中心登錄后，跳轉回子系統并附上令牌，子系統（sso-client）取得令牌，然后去sso認證中心校驗，在LoginFilter.java的doFilter()中添加幾行：

// 請求附帶token引數
String token = req.getParameter("token");
if (token != null) {
    // 去sso認證中心校驗token
    boolean verifyResult = this.verify("sso-server-verify-url", token);
    if (!verifyResult) {
        res.sendRedirect("sso-server-url");
        return;
    }
    chain.doFilter(request, response);
}

verify()方法使用httpClient實作，這里僅簡略介紹，httpClient詳細使用方法請參考官方檔案

HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token");
HttpResponse httpResponse = httpClient.execute(httpPost);

6、sso-server接收并處理校驗令牌請求

用戶在sso認證中心登錄成功后，sso-server創建授權令牌并存盤該令牌，所以，sso-server對令牌的校驗就是去查找這個令牌是否存在以及是否過期，令牌校驗成功后sso-server將發送校驗請求的系統注冊到sso認證中心（就是存盤起來的意思）

令牌與注冊系統地址通常存盤在key-value資料庫（如redis）中，redis可以為key設定有效時間也就是令牌的有效期，redis運行在記憶體中，速度非常快，正好sso-server不需要持久化任何資料，

令牌與注冊系統地址可以用下圖描述的結構存盤在redis中，可能你會問，為什么要存盤這些系統的地址？

如果不存盤，注銷的時候就麻煩了，用戶向sso認證中心提交注銷請求，sso認證中心注銷全域會話，但不知道哪些系統用此全域會話建立了自己的區域會話，也不知道要向哪些子系統發送注銷請求注銷區域會話

7、sso-client校驗令牌成功創建區域會話

令牌校驗成功后，sso-client將當前區域會話標記為“已登錄”，修改LoginFilter.java，添加幾行：

if (verifyResult) {
    session.setAttribute("isLogin", true);
}

sso-client還需將當前會話id與令牌系結，表示這個會話的登錄狀態與令牌相關，此關系可以用java的hashmap保存，保存的資料用來處理sso認證中心發來的注銷請求

8、注銷程序

用戶向子系統發送帶有“logout”引數的請求（注銷請求），sso-client攔截器攔截該請求，向sso認證中心發起注銷請求：

String logout = req.getParameter("logout");
if (logout != null) {
    this.ssoServer.logout(token);
}

sso認證中心也用同樣的方式識別出sso-client的請求是注銷請求（帶有“logout”引數），sso認證中心注銷全域會話

@RequestMapping("/logout")
public String logout(HttpServletRequest req) {
    HttpSession session = req.getSession();
    if (session != null) {
        session.invalidate();//觸發LogoutListener
    }
    return "redirect:/";
}

sso認證中心有一個全域會話的監聽器，一旦全域會話注銷，將通知所有注冊系統注銷

public class LogoutListener implements HttpSessionListener {
    @Override
    public void sessionCreated(HttpSessionEvent event) {}
    @Override
    public void sessionDestroyed(HttpSessionEvent event) {
        //通過httpClient向所有注冊系統發送注銷請求
    }
}

作者：凌承一
出處：www.cnblogs.com/ywlaker/p/6113927.html
宣告：本文著作權歸作者和博客園共有，歡迎轉載，但轉載必須保留此段宣告，并在文章頁面明顯位置給出原文鏈接，否則作者將保留追究法律責任的權利，
近期熱文推薦：

1.600+ 道 Java面試題及答案整理(2021最新版)

2.終于靠開源專案弄到 IntelliJ IDEA 激活碼了，真香！

3.阿里 Mock 工具正式開源，干掉市面上所有 Mock 工具！

4.Spring Cloud 2020.0.0 正式發布，全新顛覆性版本！

5.《Java開發手冊（嵩山版）》最新發布，速速下載！

覺得不錯，別忘了隨手點贊+轉發哦！

標籤：其他

上一篇：C/C++編程學習：MD5演算法代碼實作

下一篇：spring容器