Shiro单点登录过程和重定向问题分析
[if !supportLists]1. [endif]技术背景
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
1.1 Session
Http协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session的主要目的就是为了弥补Http的无状态特性,服务器可以利用session存储客户端在同一个会话期间的一些操作记录;
会话机制:浏览器第一次请求服务器,服务器创建一个会话,并将会话的id作为响应的一部分发送给浏览器,浏览器存储会话id,并在后续第二次和第三次请求中带上会话id,服务器取得请求中的会话id判断是否是同一个用户。
1.1.1 session保存方式
浏览器端:存放在浏览器cookie中,生命周期是session,当浏览器关闭时cookie会消失。(session劫持)。
Tomcat session 以CurrentHashMap的数据结构存储。
tomcat中多个会话对应的session是由ManagerBase类来维护,查看其代码,可以发现其有一个sessions成员属性,存储着各个会话的session信息:
/**
* The set of currently activeSessions for this Manager, keyed by
* session identifier.
*/
protected Map sessions = new ConcurrentHashMap();
1.1.2 Session的生成
Tomcat
session生成器的类实现,SessionIdGeneratorBase,实现代码如下
public String generateSessionId() {
return this.generateSessionId(this.jvmRoute);
}
public String generateSessionId(String route) {
byte[] random =new byte[16];
int sessionIdLength =this.getSessionIdLength();
StringBuilder buffer =new StringBuilder(2 * sessionIdLength + 20);
int resultLenBytes = 0;
while(resultLenBytes < sessionIdLength) {
this.getRandomBytes(random);
for(int j = 0; j < random.length && resultLenBytes < sessionIdLength; ++j) {
byte b1 = (byte)((random[j] & 240) >> 4);
byte b2 = (byte)(random[j] & 15);
if (b1 < 10) {
buffer.append((char)(48 + b1));
}else {
buffer.append((char)(65 + (b1 - 10)));
}
if (b2 < 10) {
buffer.append((char)(48 + b2));
}else {
buffer.append((char)(65 + (b2 - 10)));
}
++resultLenBytes;
}
}
if (route !=null && route.length() > 0) {
buffer.append('.').append(route);
}else {
String jvmRoute =this.getJvmRoute();
if (jvmRoute !=null && jvmRoute.length() > 0) {
buffer.append('.').append(jvmRoute);
}
}
return buffer.toString();
}
1.1.3 session
ID生产算法
Random类中实现的随机算法是伪随机,也就是有规则的随机。在进行随机时,随机算法的起源数字称为种子数(seed),在种子数的基础上进行一定的变换,从而产生需要的随机数字,当种子可知时,随机数也是可知的。
[if !supportLists]· [endif]SecureRandom类提供加密的强随机数生成器(RNG)
使用的随机数生成工具SecureRandom工具生成随机数。
protected void getRandomBytes(byte[] bytes) {
SecureRandom random = (SecureRandom)this.randoms.poll();
if (random ==null) {
random =this.createSecureRandom();
}
random.nextBytes(bytes);
this.randoms.add(random);
}
SecureRandom的实现算法,NativePRNG,否则就是SHA1PRNG。
操作系统收集了一些随机事件,比如鼠标点击,键盘点击等等,SecureRandom 使用这些随机事件作为种子,从而使得种子不可预测。
1.2 单系统登录实现。
1.2.1 会话维护
会话机制中,浏览器第一次请求服务器需要输入用户名与密码验证身份,服务器拿到用户名密码去数据库比对,验证通过则说明当前持有这个会话的用户是合法用户,应该将这个会话标记为“已授权”或者“已登录”等等之类的状态,并将信息保存在session中,tomcat在会话对象中设置登录状态如下
1
2
HttpSession session = request.getSession();
session.setAttribute("isLogin", true);
用户再次访问时,tomcat在会话对象中查看登录状态
1
2
HttpSession session = request.getSession();
session.getAttribute("isLogin");
1.2.2 处理过程
实现了登录状态的浏览器请求服务器模型如下图描述
1.3 多系统情况下登录实现。
1.3.1 同域名下session共享的方式。
利用cookie的特性和session共享实现单点登录。但是无法实现跨域的情况。
sso登录后,可以将Cookie的域设置为顶域,例如.a.com,这样所有子域的系统都可以访问到顶域的Cookie。我们在设置Cookie时,只能设置顶域和自己的域,不能设置其他的域。比如:我们不能在自己的系统中给baidu.com的域设置Cookie。这样所有的子系统都会带上该cookie。
多服务器的Sesssion共享实现cookie session的统一验证。
在sso系统登录了,这时再访问app1,Cookie也带到了app1的服务端(Server),app1的服务端把系统的Session共享。共享Session的解决方案有很多,例如:Spring-Session。
1.3.2 CAS实现单点登录。CentralAuthentication Service
CAS是Central
Authentication Service的简称,统一认证中心。CAS认证协议定义了统一认证的交互过程,同时CAS发行了3个版本。
V1实现单点登录。
V2增加代理模式,代理模式是一种更复杂形式的认证,即认证的Web应用(CAS Client)可以作为代理直接访问需要认证的后端服务(如邮件服务器),浏览器用户无需再和后端服务直接进行认证交互。
v3版本则更加丰富了协议,认证中心验证票据后不仅可以返回身份ID,还可携带用户昵称、性别等其他用户基本信息。
单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。
相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理。
[if !supportLists]1) [endif]登录过程
相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理,用下图说明。
下面对上图简要描述
[if !supportLists]1) [endif]用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
[if !supportLists]2) [endif]sso认证中心发现用户未登录,将用户引导至登录页面
[if !supportLists]3) [endif]用户输入用户名密码提交登录申请
[if !supportLists]4) [endif]sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌
[if !supportLists]5) [endif]sso认证中心带着令牌跳转会最初的请求地址(系统1)
[if !supportLists]6) [endif]系统1拿到令牌,去sso认证中心校验令牌是否有效
[if !supportLists]7) [endif]sso认证中心校验令牌,返回有效,注册系统1
[if !supportLists]8) [endif]系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护资源
[if !supportLists]9) [endif]用户访问系统2的受保护资源
[if !supportLists]10)[endif]系统2发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数
[if !supportLists]11)[endif]sso认证中心发现用户已登录,跳转回系统2的地址,并附上令牌
[if !supportLists]12)[endif]系统2拿到令牌,去sso认证中心校验令牌是否有效
[if !supportLists]13)[endif]sso认证中心校验令牌,返回有效,注册系统2
[if !supportLists]14)[endif]系统2使用该令牌创建与用户的局部会话,返回受保护资源
用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话,用户与各个子系统建立的会话称为局部会话,局部会话建立之后,用户访问子系统受保护资源将不再通过sso认证中心,全局会话与局部会话有如下约束关系
[if !supportLists]1) [endif]局部会话存在,全局会话一定存在
[if !supportLists]2) [endif]全局会话存在,局部会话不一定存在
[if !supportLists]3) [endif]全局会话销毁,局部会话必须销毁
问题点:
SSO系统登录后,跳回原业务系统时,带了个参数ST,业务系统还要拿ST再次访问SSO进行验证,觉得这个步骤有点多余。他想SSO登录认证通过后,通过回调地址将用户信息返回给原业务系统,原业务系统直接设置登录状态,这样流程简单,也完成了登录,不是很好吗?
如果在SSO没有登录,而是直接在浏览器中敲入回调的地址,并带上伪造的用户信息,业务系统也认为登录,会产生安全问题。
[if !supportLists]2) [endif]注销过程
单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁,用下面的图来说明
sso认证中心一直监听全局会话的状态,一旦全局会话销毁,监听器将通知所有注册系统执行注销操作。
下面对上图简要说明
[if !supportLists]1) [endif]用户向系统1发起注销请求
[if !supportLists]2) [endif]系统1根据用户与系统1建立的会话id拿到令牌,向sso认证中心发起注销请求
[if !supportLists]3) [endif]sso认证中心校验令牌有效,销毁全局会话,同时取出所有用此令牌注册的系统地址
[if !supportLists]4) [endif]sso认证中心向所有注册系统发起注销请求
[if !supportLists]5) [endif]各注册系统接收sso认证中心的注销请求,销毁局部会话
[if !supportLists]6) [endif]sso认证中心引导用户至登录页面
1.3.3 Shiro实现会话管理和CAS验证
Shiro中同时已经存在了 cas 认证中心,shiro 官方在 1.2 中就表明已经弃用了CasFilter ,建议使用 buji-pac4j ,使用pac4j 来做单点登录的控制,贷款服务目前使用的CasFilter。
1)登录filter, AccessControlFilter
2)登录授权,验证ticket,CasFilter 。
3)登录信息存储,使用redis统一存储登录信息,key是ticket,value是shiro session。
RedisSessionDAO redisSessionDAO =new RedisSessionDAO();
redisSessionDAO.setRedisManager(redisManager());
DefaultWebSessionManager sessionManager =new DefaultWebSessionManager();
//
设置自定义cookiesessionManager.setSessionIdCookie(simpleCookie());
sessionManager.setSessionDAO(redisSessionDAO);
2 贷款服务单点登录应用
2.1 全局会话TGT
所有的系统应用都会引导到CAS Server认证中心去登录。登录成功后,认证中心会产生一个票据叫TGT(Ticket Granting Ticket),TGT即代表了用户与认证中心直接的全局会话。TGT存在,表明该用户处于登录状态。
TGT并没有放在Session中,也就是说,CAS全局会话的实现并没有直接使用Session机制,而是利用了Cookie自己实现的,这个Cookie叫做TGC(Ticket Granting Cookie),它存放了TGT的id,认证中心服务端实现了TGT。
请求的时候带上TGC ,验证全局会话。如果删除了cookie TGC,那么需要重新登录。
2.2 局部会话shiro session
局部会话,第一次验证session时,在cookie中设置loan_session。
3 当前问题及分析
3.1 重定向问题。
3.1.1
Cookie取值
Tomcat有默认的sessionID, JSESSIONID。Shiro在不自定义名称的时候,默认session的cookie名称也是,JSESSIONID。导致存在两个重名cookie name。
Shiro的session域 是.loan.jiaoyi.ke.com 而 tomcat的cookie域是 loan.jiaoyi.ke.com。在域不同的情况下,同名cookie是可以共存的。
登录的时候cookie顺序是这样的,shiro可以取到正确的jsessionId。登出重新登录后,顺序相反,导致取到错误的JSESSIONID。
Cookie取值逻辑是按名称,取匹配的第一个。取值逻辑。
private static javax.servlet.http.Cookie
getCookie(HttpServletRequest request, String cookieName) {
javax.servlet.http.Cookie
cookies[] = request.getCookies();
if (cookies !=null){
for (javax.servlet.http.Cookie
cookie : cookies) {
if (cookie.getName().equals(cookieName))
{
return cookie;
}
}
}
return null;
}
3.1.2 重定向循环
当取到错误的sessionid验证时,验证失败。局部回话验证失败,浏览器重定向CAS服务器,CAS验证通过,返回ticket到贷款服务,贷款服务ticket验证通过,重新设计shiro会话session,浏览器重新访问贷款服务,但是session还是取值错误,所以无限循环重定向,导致报错。
4 解决方案
修改shiro的session名称,使得shiro
session取值正确,解决重定向问题。
升级shiro版本,添加配置,解决了线上重定向丢失参数问题,参数丢失的原因还无法确认,在测试环境没法复现问题。sessionManager.setSessionIdUrlRewritingEnabled(false);
@Bean
public SimpleCookie simpleCookie(){
SimpleCookie simpleCookie =new SimpleCookie();
simpleCookie.setName("loan_session");
simpleCookie.setHttpOnly(true);
return simpleCookie;
}
DefaultWebSessionManager sessionManager =new DefaultWebSessionManager();
//
设置自定义cookiesessionManager.setSessionIdCookie(simpleCookie());
sessionManager.setSessionIdUrlRewritingEnabled(false);
5 分析工具
5.1 远程调试
使用远程调试可以清晰的分析整个登录的处理和验证过程。
在jar包启动脚本中也配置,
jdwp=transport=dt_socket,server=y,suspend=n,address=38115
5.2 抓包工具fidder
使用fidder抓包,分析浏览器的请求过程。
[if !supportLists]6 [endif]引用
单点登录原理及简单实现。https://www.cnblogs.com/scode2/p/8671073.html
Tomcat
session 产生。https://www.cnblogs.com/chenpi/p/5434537.html
SecureRandom简介,https://www.cnblogs.com/deng-cc/p/8064481.html
Java随机工具,https://www.jianshu.com/p/2f6acd169202
单点登录看这一篇。https://yq.aliyun.com/articles/636281
CAS实现单点登录,
https://blog.csdn.net/javaloveiphone/article/details/52439613
CAS协议 http://www.imooc.com/article/3720