学习单点登录这一篇就够了

单点登录

  • 一、什么是单点登录
  • 二、为什么用单点登录
  • 三、单点登录的技术实现
    • 1. 同域下的单点登录
    • 2. 跨域下的单点登录

一、什么是单点登录

单点登录: 在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

学习单点登录这一篇就够了_第1张图片

  • 如图所示,图中有4个系统
  • Application1、Application2、Application3没有登录模块,而SSO只有登录模块,没有其他的业务模块。
  • 当Application1、Application2、Application3需要登录时,将跳到SSO系统,SSO系统完成登录,其他的应用系统也就随之登录了。

二、为什么用单点登录

早期web单系统的登录: 当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。
学习单点登录这一篇就够了_第2张图片

分布式集群部署带来的问题

由于网站的访问量越来也大,单机部署已经是巨大瓶颈,所以才有了后来的分布式集群部署。如果引入集群的概念,单应用可能重新部署在3台tomcat以上服务器,使用nginx来实现反向代理。

但是增加新的服务器之后,不同的服务器之间的sessionId是不一样的,可能在A服务器上已经登录成功了,能从服务器的session中获取用户信息,但是在B服务器上却查不到session信息,只好退出来继续登录,结果A服务器中的session因为超时失效,登录之后又被强制退出来要求重新登录。

所以不得不考虑多服务器之间的session数据一致的问题,这就是单点登录的最早来源。
学习单点登录这一篇就够了_第3张图片

三、单点登录的技术实现

单点登录的本质就是在多个应用系统中共享登录状态,如果用户的登录状态是记录在 Session 中的,要实现共享登录状态,就要先共享 Session。

所以实现单点登录的关键在于,如何让 Session ID(或 Token)在多个域中共享。

1. 同域下的单点登录

一个企业一般情况下只有一个域名,通过二级域名区分不同的系统。比如我们有个域名叫做:a.com (一级域名),同时有两个业务系统分别为:app1.a.com(二级域名)和app2.a.com。我们要做单点登录(SSO),需要一个登录系统,叫做:sso.a.com。

实现方式

在sso.a.com中登录了,其实是在sso.a.com的服务端的session中记录了登录状态,同时在浏览器端(Browser)的sso.a.com下写入了Cookie。那么我们怎么才能让app1.a.com和app2.a.com登录呢?这里有两个问题:

  • Cookie是不能跨域的,我们Cookie的domain属性是sso.a.com,在给app1.a.com和app2.a.com发送请求是带不上的。
  • sso、app1和app2是不同的应用,它们的session存在自己的应用内,是不共享的。

如何解决这两个问题呢?

  • sso登录以后,可以将Cookie的 domian 域设置为顶域,即.a.com,这样所有子域的系统都可以访问到顶域的Cookie。在设置Cookie时,只能设置顶域和自己的域,不能设置其他的域
  • 把3个系统的Session共享,共享Session的解决方案有很多,例如:Spring-Session

学习单点登录这一篇就够了_第4张图片

2. 跨域下的单点登录

如果是不同域呢?不同域之间Cookie是不共享的,怎么办?

这里我们就要说一说CAS流程了,CAS单点登录的流程图如下:

具体流程:

1)用户访问app系统,app系统是需要登录的,但用户现在没有登录。

2)跳转到CAS server,即SSO登录系统,以后图中的CAS Server我们统一叫做SSO系统。 SSO系统也没有登录,弹出用户登录页。

3)用户填写用户名、密码,SSO系统进行认证后,将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie。

4)SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到app系统,同时将ST作为参数传递给app系统。

5)app系统拿到ST后,从后台向SSO发送请求,验证ST是否有效。

6)验证通过后,app系统将登录状态写入session并设置app域下的Cookie。

至此,跨域单点登录就完成了。以后我们再访问app系统时,app就是登录的。接下来,我们再看看访问app2系统时的流程。

1)用户访问app2系统,app2系统没有登录,跳转到SSO。

2)由于SSO已经登录了,不需要重新登录认证。

3)SSO生成新的ST,浏览器跳转到app2系统,并将ST作为参数传递给app2。

4)app2拿到ST,后台访问SSO,验证ST是否有效。

5)验证成功后,app2将登录状态写入session,并在app2域下写入Cookie。

这样,app2系统不需要走登录流程,就已经是登录了。SSO,app和app2在不同的域,它们之间的session不共享也是没问题的。

你可能感兴趣的:(文章分享,java,okhttp)