- 1自然语言处理学习笔记八(命名实体识别)_自然语言处理中的tag一般表示什么
- 2(七)Eureka服务注册与发现_eureka服务注册与发现原理
- 3如何快速启动多个 SecureCRT ®会话。_securecrt一个窗口打开多个会话
- 4AI绘画:StableDiffusion XL1.0的15种风格!_sdxl绘画风格
- 510. Go使用validator库进行参数校验_go validator
- 6【深度学习基础】MAC pycharm 专业版安装与激活_mac pycharm激活
- 7Spark中有哪些情况会导致数据倾斜?在不同的数据倾斜问题中处理方法分别是什么?_下面哪些可能是spark数据倾斜原因
- 8mac 挂载nfs_Mac中配置NFS server
- 9python中的numpy库_python的numpy库
- 10国内IT成功人士的成功之路_it行业成功人物的成功原因
Sa-token深入
赞
踩
1.Sa-Token-SSO 单点登录模块
什么是单点登录?解决什么问题?
举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。
单点登录——就是为了解决这个问题而生!
简而言之,单点登录可以做到: 在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。
架构选型
Sa-Token-SSO 由简入难划分为三种模式,解决不同架构下的 SSO 接入问题:
1.前端同域:就是指多个系统可以部署在同一个主域名之下,比如:c1.domain.com、c2.domain.com、c3.domain.com。
2.后端同Redis:就是指多个系统可以连接同一个Redis。PS:这里并不需要把所有项目的数据都放在同一个Redis中,Sa-Token提供了 [权限缓存与业务缓存分离] 的解决方案,详情戳: Alone独立Redis插件。
3.如果既无法做到前端同域,也无法做到后端同Redis,那么只能走模式三,Http请求获取会话(Sa-Token对SSO提供了完整的封装,你只需要按照示例从文档上复制几段代码便可以轻松集成)。
Sa-Token-SSO 特性
API 简单易用,文档介绍详细,且提供直接可用的集成示例。
支持三种模式,不论是否跨域、是否共享Redis、是否前后端分离,都可以完美解决。
安全性高:内置域名校验、Ticket校验、秘钥校验等,杜绝Ticket劫持、Token窃取等常见攻击手段(文档讲述攻击原理和防御手段)。
不丢参数:笔者曾试验多个单点登录框架,均有参数丢失的情况,比如重定向之前是:http://a.com?id=1&name=2,登录成功之后就变成了:http://a.com?id=1,Sa-Token-SSO内有专门的算法保证了参数不丢失,登录成功之后原路返回页面。
无缝集成:由于Sa-Token本身就是一个权限认证框架,因此你可以只用一个框架同时解决权限认证 + 单点登录问题,让你不再到处搜索:xxx单点登录与xxx权限认证如何整合……
高可定制:Sa-Token-SSO模块对代码架构侵入性极低,结合Sa-Token本身的路由拦截特性,你可以非常轻松的定制化开发。
2.搭建统一认证中心 SSO-Server
在开始SSO三种模式的对接之前,我们必须先搭建一个 SSO-Server 认证中心
1、添加依赖
<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.37.0</version> </dependency> <!-- Sa-Token 插件:整合SSO --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-sso</artifactId> <version>1.37.0</version> </dependency> <!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-redis-jackson</artifactId> <version>1.37.0</version> </dependency> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId> </dependency> <!-- 视图引擎(在前后端不分离模式下提供视图支持) --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <!-- Http请求工具(在模式三的单点注销功能下用到,如不需要可以注释掉) --> <dependency> <groupId>com.dtflys.forest</groupId> <artifactId>forest-spring-boot-starter</artifactId> <version>1.5.26</version> </dependency>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
除了 sa-token-spring-boot-starter 和 sa-token-sso 以外,其它包都是可选的:
在 SSO 模式三时 Redis 相关包是可选的
在前后端分离模式下可以删除 thymeleaf 相关包
在不需要 SSO 模式三单点注销的情况下可以删除 http 工具包
建议先完整测试三种模式之后再对pom依赖进行酌情删减。
2、开放认证接口
/** * Sa-Token-SSO Server端 Controller */ @RestController public class SsoServerController { /* * SSO-Server端:处理所有SSO相关请求 (下面的章节我们会详细列出开放的接口) */ @RequestMapping("/sso/*") public Object ssoRequest() { return SaSsoProcessor.instance.serverDister(); } /** * 配置SSO相关参数 */ @Autowired private void configSso(SaSsoConfig sso) { // 配置:未登录时返回的View sso.setNotLoginView(() -> { String msg = "当前会话在SSO-Server端尚未登录,请先访问" + "<a href='/sso/doLogin?name=sa&pwd=123456' target='_blank'> doLogin登录 </a>" + "进行登录之后,刷新页面开始授权"; return msg; }); // 配置:登录处理函数 sso.setDoLoginHandle((name, pwd) -> { // 此处仅做模拟登录,真实环境应该查询数据进行登录 if("sa".equals(name) && "123456".equals(pwd)) { StpUtil.login(10001); return SaResult.ok("登录成功!").setData(StpUtil.getTokenValue()); } return SaResult.error("登录失败!"); }); // 配置 Http 请求处理器 (在模式三的单点注销功能下用到,如不需要可以注释掉) sso.setSendHttp(url -> { try { // 发起 http 请求 System.out.println("------ 发起请求:" + url); return Forest.get(url).executeAsString(); } catch (Exception e) { e.printStackTrace(); return null; } }); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
注意:
在setDoLoginHandle函数里如果要获取name, pwd以外的参数,可通过SaHolder.getRequest().getParam(“xxx”)来获取
在 setSendHttp 函数中,使用 try-catch 是为了提高整个注销流程的容错性,避免在一些极端情况下注销失败(例如:某个 Client 端上线之后又下线,导致 http 请求无法调用成功,从而阻断了整个注销流程)
全局异常处理:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 全局异常拦截
@ExceptionHandler
public SaResult handlerException(Exception e) {
e.printStackTrace();
return SaResult.error(e.getMessage());
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
3、application.yml配置
# 端口 server: port: 9000 # Sa-Token 配置 sa-token: # ------- SSO-模式一相关配置 (非模式一不需要配置) # cookie: # 配置 Cookie 作用域 # domain: stp.com # ------- SSO-模式二相关配置 sso: # Ticket有效期 (单位: 秒),默认五分钟 ticket-timeout: 300 # 所有允许的授权回调地址 allow-url: "*" # ------- SSO-模式三相关配置 (下面的配置在使用SSO模式三时打开) # 是否打开模式三 is-http: true sign: # API 接口调用秘钥 secret-key: kQwIOrYvnXmSDkwEiFngrKidMcdrgKor # ---- 除了以上配置项,你还需要为 Sa-Token 配置http请求处理器(文档有步骤说明) spring: # Redis配置 (SSO模式一和模式二使用Redis来同步会话) redis: # Redis数据库索引(默认为0) database: 1 # Redis服务器地址 host: 127.0.0.1 # Redis服务器连接端口 port: 6379 # Redis服务器连接密码(默认为空) password: forest: # 关闭 forest 请求日志打印 log-enabled: false
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
注意点:sa-token.sso.allow-url为了方便测试配置为*,线上生产环境一定要配置为详细URL地址 (之后的章节我们会详细阐述此配置项)
4、创建启动类
@SpringBootApplication
public class SaSsoServerApplication {
public static void main(String[] args) {
SpringApplication.run(SaSsoServerApplication.class, args);
System.out.println("\n------ Sa-Token-SSO 认证中心启动成功");
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
访问统一授权地址(仅测试SSO Server部署是否成功访问localhost,测试SSO模式一到模式三建议按照对应文档的域名进行配置并访问):
可以看到这个页面目前非常简陋,这是因为我们以上的代码示例,主要目标是为了带大家从零搭建一个可用的SSO认证服务端,所以就对一些不太必要的步骤做了简化。
大家可以下载运行一下官方仓库里的示例/sa-token-demo/sa-token-demo-sso/sa-token-demo-sso-server/,里面有制作好的登录页面:
默认账号密码为:sa / 123456,先别着急点击登录,因为我们还没有搭建对应的 Client 端项目, 真实项目中我们是不会直接从浏览器访问 /sso/auth 授权地址的,我们需要在 Client 端点击登录按钮重定向而来。
现在我们先来看看除了 /sso/auth 统一授权地址,这个 SSO-Server 认证中心还开放了哪些API:SSO-Server 认证中心开放接口。
2.SSO-Server 认证中心开放接口
一、SSO-Server 认证中心接口
1、单点登录授权地址
http://{
host}:{
port}/sso/auth
- 1
- 2
- 3
- 4
接收参数:
2、RestAPI 登录接口
http://{
host}:{
port}/sso/doLogin
- 1
- 2
- 3
- 4
3、Ticket 校验接口
此接口仅配置模式三 (isHttp=true) 时打开
http://{
host}:{
port}/sso/checkTicket
- 1
- 2
- 3
- 4
返回值场景:
校验成功时:
{
"code": 200,
"msg": "ok",
"data": "10001" // 此 ticket 指向的 loginId
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
校验失败时:
{
"code": 500,
"msg": "无效ticket:vESj0MtqrtSoucz4DDHJnsqU3u7AKFzbj0KH57EfJvuhkX1uAH23DuNrMYSjTnEq",
"data": null
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
4、单点注销接口
http://{
host}:{
port}/sso/signout
- 1
- 2
- 3
- 4
此接口有两种调用方式
4.1、方式一:在 Client 的前端页面引导用户直接跳转,并带有 back 参数
例如:
http://{
host}:{
port}/sso/signout?back=xxx
- 1
- 2
- 3
- 4
用户注销成功后将返回 back 地址
4.2、方式二:在 Client 的后端通过 http 工具来调用
接受参数:
例如:
http://{
host}:{
port}/sso/signout?loginId={
value}×tamp={
value}&nonce={
value}&sign={
value}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
将返回 json 数据结果,形如:
{
"code": 200, // 200表示请求成功,非200标识请求失败
"msg": "单点注销成功",
"data": null
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
如果单点注销失败,将返回:
{
"code": 500, // 200表示请求成功,非200标识请求失败
"msg": "签名无效:xxx", // 失败原因
"data": null
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
SSO 认证中心只有这四个接口,接下来让我一起来看一下 Client 端的对接流程:SSO模式一 共享Cookie同步会话
二、SSO-Client 应用端开放接口
1、登录地址
http://{
host}:{
port}/sso/login
- 1
- 2
- 3
- 4
2、注销地址
http://{
host}:{
port}/sso/logout
- 1
- 2
- 3
- 4
{
"code": 200, // 200表示请求成功,非200标识请求失败
"msg": "单点注销成功",
"data": null
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
3、单点注销回调接口
此接口仅配置模式三 (isHttp=true) 时打开,且为框架回调,开发者无需关心
http://{
host}:{
port}/sso/logoutCall
- 1
- 2
- 3
- 4
返回数据:
{
"code": 200, // 200表示请求成功,非200标识请求失败
"msg": "单点注销回调成功",
"data": null
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
3.SSO模式一 共享Cookie同步会话
1、设计思路
首先我们分析一下多个系统之间,为什么无法同步登录状态?
前端的 Token 无法在多个系统下共享。
后端的 Session 无法在多个系统间共享。
所以单点登录第一招,就是对症下药:
使用 共享Cookie 来解决 Token 共享问题。
使用 Redis 来解决 Session 共享问题。
所谓共享Cookie,就是主域名Cookie在二级域名下的共享,举个例子:写在父域名stp.com下的Cookie,在s1.stp.com、s2.stp.com等子域名都是可以共享访问的。
而共享Redis,并不需要我们把所有项目的数据都放在同一个Redis中,Sa-Token提供了 [权限缓存与业务缓存分离] 的解决方案,详情戳:Alone独立Redis插件。
加载动态演示图
OK,所有理论就绪,下面开始实战:
2、准备工作
首先修改hosts文件(C:\windows\system32\drivers\etc\hosts),添加以下IP映射,方便我们进行测试:
127.0.0.1 sso.stp.com
127.0.0.1 s1.stp.com
127.0.0.1 s2.stp.com
127.0.0.1 s3.stp.com
- 1
- 2
- 3
- 4
- 5
其中:sso.stp.com为统一认证中心地址,当用户在其它 Client 端发起登录请求时,均将其重定向至认证中心,待到登录成功之后再原路返回到 Client 端。
3、指定Cookie的作用域
在sso.stp.com访问服务器,其Cookie也只能写入到sso.stp.com下,为了将Cookie写入到其父级域名stp.com下,我们需要更改 SSO-Server 端的 yml 配置:
sa-token:
cookie:
# 配置 Cookie 作用域
domain: stp.com
- 1
- 2
- 3
- 4
- 5
这个配置原本是被注释掉的,现在将其打开。另外我们格外需要注意: 在SSO模式一测试完毕之后,一定要将这个配置再次注释掉,因为模式一与模式二三使用不同的授权流程,这行配置会影响到我们模式二和模式三的正常运行。
4、搭建 Client 端项目
搭建示例在官方仓库的
/sa-token-demo/sa-token-demo-sso/sa-token-demo-sso1-client/,如遇到难点可结合源码进行测试学习。
4.1、引入依赖
<!-- Sa-Token 权限认证, 在线文档:https://sa-token.cc --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.37.0</version> </dependency> <!-- Sa-Token 插件:整合SSO --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-sso</artifactId> <version>1.37.0</version> </dependency> <!-- Sa-Token 整合redis (使用jackson序列化方式) --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-redis-jackson</artifactId> <version>1.37.0</version> </dependency> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId> </dependency> <!-- Sa-Token插件:权限缓存与业务缓存分离 --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-alone-redis</artifactId> <version>1.37.0</version> </dependency>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
4.2、新建 Controller 控制器
/** * Sa-Token-SSO Client端 Controller * @author click33 */ @RestController public class SsoClientController { // SSO-Client端:首页 @RequestMapping("/") public String index() { String authUrl = SaSsoManager.getConfig().splicingAuthUrl(); String solUrl = SaSsoManager.getConfig().splicingSloUrl(); String str = "<h2>Sa-Token SSO-Client 应用端</h2>" + "<p>当前会话是否登录:" + StpUtil.isLogin() + "</p>" + "<p><a href=\"javascript:location.href='" + authUrl + "?mode=simple&redirect=' + encodeURIComponent(location.href);\">登录</a> " + "<a href=\"javascript:location.href='" + solUrl + "?back=' + encodeURIComponent(location.href);\">注销</a> </p>"; return str; } // 全局异常拦截 @ExceptionHandler public SaResult handlerException(Exception e) { e.printStackTrace(); return SaResult.error(e.getMessage()); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
4.3、application.yml 配置
# 端口 server: port: 9001 # Sa-Token 配置 sa-token: # SSO-相关配置 sso: # SSO-Server端-单点登录授权地址 auth-url: http://sso.stp.com:9000/sso/auth # SSO-Server端-单点注销地址 slo-url: http://sso.stp.com:9000/sso/signout # 配置 Sa-Token 单独使用的Redis连接 (此处需要和SSO-Server端连接同一个Redis) alone-redis: # Redis数据库索引 database: 1 # Redis服务器地址 host: 127.0.0.1 # Redis服务器连接端口 port: 6379 # Redis服务器连接密码(默认为空) password: # 连接超时时间 timeout: 10s
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
4.4、启动类
/**
* SSO模式一,Client端 Demo
*/
@SpringBootApplication
public class SaSso1ClientApplication {
public static void main(String[] args) {
SpringApplication.run(SaSso1ClientApplication.class, args);
System.out.println("\nSa-Token SSO模式一 Client端启动成功");
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
5、访问测试
启动项目,依次访问三个应用端:
http://s1.stp.com:9001/
http://s2.stp.com:9001/
http://s3.stp.com:9001/
6、跨域模式下的解决方案
如上,我们使用简单的步骤实现了同域下的单点登录,聪明如你??,马上想到了这种模式有着一个不小的限制:
所有子系统的域名,必须同属一个父级域名
如果我们的子系统在完全不同的域名下,我们又该怎么完成单点登录功能呢?
且往下看,SSO模式二:URL重定向传播会话
4.SSO模式二 URL重定向传播会话
1、设计思路
首先我们再次复习一下,多个系统之间为什么无法同步登录状态?
1.前端的Token无法在多个系统下共享。
2.后端的Session无法在多个系统间共享。
关于第二点,我们已在 “SSO模式一” 章节中阐述&
