SpringBoot应用如何以优雅的方式对接老旧SSO实现单点登录逻辑

背景介绍

我们现在开发WEB应用最流行的框架就是SpringBoot，开发好的应用程序经常要接入企业内部的SSO系统，因为现在企业里面基本上都有自己的一套统一认证服务，企业开发的各个业务系统都对接这个统一认证服务，那么就可以实现企业内部的单点登录了。

统一认证服务经常也叫做SSO，有些SSO是很久以前开发的比较老旧，接入的方式可能也是利用浏览器的Session和Cookie来实现。但是现在流行前后端分离，并且随着JWT的发展，前后端的交互更多喜欢采用JWT方式进行认证，JWT更加灵活，所以很受欢迎。

那么，有没有办法在对接老旧的基于Session和Cookie方式的单点登录时，可以以更优雅的方式采用JWT方式进行实现呢？答案是肯定的。

本文前端使用front表示，后端使用back表示，统一认证服务使用sso表示。

设计思想

登录前的时序图

front back sso 前端发起一个请求(不带JWT) 自定义请求头URL_REFER:当前页面 https://back/helo-world back获取当前会话的coSessionId request.getSession(true).getId() back通过coSessionId获取用户信息 getSsoUser() 返回null 响应标准302,请求头Location sendRedirect(“https://sso/login.jsp”) 前端根据302重定向到Location地址 location.href="https://sso/login.jsp" 输入登录账号、密码进行登录 login() 登录成功回调back https://back/surl?ssoSessionId=xxx 通过coSessionId获取用户信息 getSsoUser(coSessionId) 返回SsoUser 生成JWT createJWT(coSessionId, ssoSessionId) 响应302，重定向到用户跳转登录前的页面 自定义请求头ACCESS_TOKEN: JWT sendRedirect(URL_REFER) location.href=URL_REFER front back sso

登录后的时序图

front back sso 请求头Authentication: JWT https://back/hello-world 校验JWT，得到coSessionId和ssoSessionId validateJwt() 通过coSessionId获取用户信息 getSsoUser(coSessionId) 返回SsoUser 执行hello-world业务逻辑 helloWorld() 200 {"result": "hello,world"} front back sso

back内部认证逻辑的设计

身份认证主要由2个Filter完成，一个处理登录逻辑的LoginFilter，一个处理JWT校验的JwtFilter，接下来分别讲讲两个Filter的内部流程设计

LoginFilter内部流程

sso

Y

N

Y

N

Y

N

Y

N

Y

N

Y

N

N

Y

当前会话已经登录?

重定向sso LoginServlet

end

回调back

登记coSeesionId有效

重定向登录页面

登录成功?

用户输入账号密码登录

回调back:带ssoSessionId

登记coSeesionId有效

start

请求path需要认证?

当前会话已经认证?

filterChain

请求带JWT?

获取当前会话coSessionId

请求带ssoSessionId

使用coSessionid+ssoSessionId获取SsoUser

使用coSession获取SsoUser

SsoUser是否为空

生成JWT

请求头或url参数获取URL_REFER

重定向URL_REFER:响应头带JWT

JwtFilter内部流程

sso

Y

N

Y

N

N

Y

N

Y

Y

N

Y

N

N

Y

当前会话已经登录?

重定向sso LoginServlet

end

回调back

登记coSeesionId有效

重定向登录页面

登录成功?

用户输入账号密码登录

回调back:带ssoSessionId

登记coSeesionId有效

start

请求path需要认证?

当前会话已经认证?

filterChain

请求带JWT?

响应403

校验JWT

JWT有效?

从JWT获取coSessionid+ssoSessionId

使用coSessionid+ssoSessionId获取SsoUser

SsoUser是否为空

context设置身份凭证

filter流程说明

1. 前端所有请求设置自定义请求头URL_REFER，放前端当前所在页面，这个值用于重定向sso登录页面后，登录成功跳转用的。
2. 当back请求sso获取SsoUser时，相当于sso对当前请求的一次合法性校验
3. 如果sso校验通过，则返回SsoUser
4. 否则，重定向到登录页面
5. 登录成功后，back生成JWT，放入响应头中
6. 后续前端请求带上JWT，back校验JWT
7. JWT校验通过后，得到sso需要的凭证
8. 然后重复第2步

权限校验

上面设计的两个Filter解决了前端的身份认证的问题，剩下还有一个权限校验的问题。 可以考虑使用Shiro框架或者Spring Security框架，既然我们是用SpringBoot开发，建议使用Spring Security，与SpringBoot衔接的可以更加的无缝。由于本文主要目的是针对老旧sso对接的问题进行设计，因此对权限的处理就不在这里展开叙述了，只简单的描述下基本的流程。

Y

N

start

SecurityFilter

有权限?

Controller

响应403

总结

第一次使用Markdown语法画时序图和流程图，花了整整一天的时间，在使用Markdown画图的过程中，总结了一些Markdown画图语法的使用心得

• 要善于使用subgraph
• 每一个subgraph相当于一个抽象，不仅可以帮助我们归纳整理不同模块之间的关系，对图形源码的可读性更高，维护成本更低
• subgraph在使用的时候，本人的最佳实践是，给每一个subgraph取一个名字，比如sso，然后在subgraph体内设置一个起点和一个终点，并分别取名sso.start和sso.over，这样可以对subgraph形成一个闭环，外部引用的时候只需要对接sso.start和sso.over即可。由于设计思考的过程，会反复修改，当subgraph内部发生任何修改，对外部没有任何影响，达到了高内聚低偶合的目的
• Markdown的flowchart语法不能使用end做为node名字，及时end(xxx)也不行，因为在flowchart语法里面end是一个关键字，所以本文画图源码使用了over命名代替end也就是这个原因

Markdown还能画状态图、甘特图等更多图形，以后有机会再单独写一篇关于Markdown画图的文章，并把自己在画图过程中的心得分享给大家。