单点登录系统,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。任何SSO框架都需要创建统一的认证中心!
解决问题当我们有多个系统时,每个系统都需要做登录操作的时候,会遇到非常繁琐的问题(频繁的登录),当调用其他服务时也会出现访问不到,授权的问题,那么怎么解决此问题呢?我们就用到了SSO框架。
框架介绍我们使用MaJiaSSO框架来解决单点登录问题。此框架使用非常简单,五分钟集成框架,使用JWT作为Token,不依赖任何存储,用户可以携带自定义信息,可以自定义Token加密盐。我们只需要创建一个统一的认证服务,此服务我们用来验证用户登录,并且验证获取Token。访问其他服务时,只需要带上Token就可以进行访问。我们可以使用@NoToken注解来控制放开那些不需要注解的请求映射。
对比优点- 不依赖任何存储(大部分SSO依赖缓存/Redis/Mysql等存储)
- 即插即用,五分钟集成
- Token基于JWT,用户可以自己携带信息
- 用户自定义加密盐,安全便捷
- 基于注解控制请求,简单方便
- 基于拦截器,可以动态控制拦截请求(推荐拦截所有/**,使用@NoToken控制)
- 认证服务器重启无影响,无缓存
pom引入
org.springframework.boot spring-boot-starter-parent1.5.10.RELEASE org.springframework.boot spring-boot-starter-webcom.majiaxueyuan sso-core1.2.2
登录请求Controller
在这里,为了方便就不编写Sql服务,假如用户名和密码分别为admin/123456时表示认证通过。
认证通过时,调用方法loginSuccess,传入参数(唯一ID,用户名,其他信息,自定义加密盐),判断返回状态码是不是200,如果是,直接获取data就是TOKEN值。
@RestController
public class LoginController {
@RequestMapping("/login")
public String login(String username, String password) {
if (username.equals("admin") && password.equals("123456")) {
// 表示登录成功
JSonObject json = new JSonObject();
json.put("username", username);
json.put("role", new ArrayList(Arrays.asList("admin", "normal")));
Result loginSuccess = TokenLoginHelper.loginSuccess(1L, username, json.toJSonString(), "token-salt");
if (loginSuccess.getCode().equals(200)) {
String token = loginSuccess.getData().toString();
System.out.println(token);
return "token:" + token;
}
return "登录失败";
}
return "failed";
}
}
到这里认证服务就集成完毕了
对于普通服务而言,一个服务也是这样集成,两个服务也是这样集成…100个服务也是这样集成。
注意事项:在集成时,我们需要注意设置加密盐要和授权中心一致(必须一致,一把锁必须对应它的钥匙才能打开锁)
集成步骤:
- 创建正常的SpringBoot服务
- 引用Jar包
- 添加拦截器
- 放开不需要认证的请求
集成就完毕了!!!
pom.xml
org.springframework.boot spring-boot-starter-parent1.5.10.RELEASE org.springframework.boot spring-boot-starter-webcom.majiaxueyuan sso-core1.2.2
添加MaJiaSSO拦截器,并设置加密盐
@Configuration
public class MaJiaSsoConfig extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(ssoIntercepter()).addPathPatterns("/**");
}
@Bean
public MaJiaSSOIntercepter ssoIntercepter() {
return new MaJiaSSOIntercepter().setTokenSalt("token-salt");
}
}
放开某些请求,并且获取我们保存在Token中的信息
/hello请求是需要我们携带Token进行访问的,而/hi请求则利用注解放开了验证,代码如下
@RestController
public class ClientController {
@RequestMapping("/hello")
public String hello(HttpServletRequest req) {
SSOUser user = (SSOUser) req.getAttribute("ssoUser");
System.out.println(user.toString());
return "hello";
}
@RequestMapping("/hi")
@NoToken(notNeedToken = true)
public String wei() {
return "hi,no token!";
}
}
访问图(不需要Token,被NoToken注解)
需要Token未携带时访问(返回Code401),当Token不合法,会提示非法请求
正常携带Token时访问,并且控制台会打印出我们携带的所有信息
控制台打印携带的信息
当携带错误的Token进行访问时,我们可以理解为有人恶意的攻击我们的系统,给出提示
到这里我们集成MaJiaSSO就成功了,可以添加很多服务,为每个服务添加上拦截器就OK!SSO就是这么简单。
