最近開發(fā)新產(chǎn)品，然后老板說我們現(xiàn)在系統(tǒng)太多了，每次切換系統(tǒng)登錄太麻煩了，能不能做個優(yōu)化，同一賬號互通掉。作為一個資深架構(gòu)獅，老板的要求肯定要滿足，安排！G4y28資訊網(wǎng)——每日最新資訊28at.com

一個公司產(chǎn)品矩陣比較豐富的時候，用戶在不同系統(tǒng)之間來回切換，固然對產(chǎn)品用戶體驗(yàn)上較差，并且增加用戶密碼管理成本。也沒有很好地利用內(nèi)部流量進(jìn)行用戶打通，并且每個產(chǎn)品的獨(dú)立體系會導(dǎo)致產(chǎn)品安全度下降。G4y28資訊網(wǎng)——每日最新資訊28at.com

因此實(shí)現(xiàn)集團(tuán)產(chǎn)品的單點(diǎn)登錄對用戶使用體驗(yàn)以及效率提升有很大的幫助。那么如何實(shí)現(xiàn)統(tǒng)一認(rèn)證呢？我們先了解一下傳統(tǒng)的身份驗(yàn)證方式。G4y28資訊網(wǎng)——每日最新資訊28at.com

1 傳統(tǒng)Session機(jī)制及身份認(rèn)證方案

1.1 Cookie與服務(wù)器的交互

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

眾所周知，http是無狀態(tài)的協(xié)議，因此客戶每次通過瀏覽器訪問web頁面，請求到服務(wù)端時，服務(wù)器都會新建線程，打開新的會話，而且服務(wù)器也不會自動維護(hù)客戶的上下文信息。比如我們現(xiàn)在要實(shí)現(xiàn)一個電商內(nèi)的購物車功能，要怎么才能知道哪些購物車請求對應(yīng)的是來自同一個客戶的請求呢？G4y28資訊網(wǎng)——每日最新資訊28at.com

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

因?yàn)?http 請求是無狀態(tài)請求，所以在 Web 領(lǐng)域，大部分都是通過這種方式解決。但是這么做有什么問題呢？我們接著看G4y28資訊網(wǎng)——每日最新資訊28at.com

2 集群環(huán)境下的 Session 困境及解決方案

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

隨著技術(shù)的發(fā)展，用戶流量增大，單個服務(wù)器已經(jīng)不能滿足系統(tǒng)的需要了，分布式架構(gòu)開始流行。通常都會把系統(tǒng)部署在多臺服務(wù)器上，通過負(fù)載均衡把請求分發(fā)到其中的一臺服務(wù)器上，這樣很可能同一個用戶的請求被分發(fā)到不同的服務(wù)器上，因?yàn)?session 是保存在服務(wù)器上的，那么很有可能第一次請求訪問的 A 服務(wù)器，創(chuàng)建了 session，但是第二次訪問到了 B 服務(wù)器，這時就會出現(xiàn)取不到 session 的情況。G4y28資訊網(wǎng)——每日最新資訊28at.com

我們知道，Session 一般是用來存會話全局的用戶信息（不僅僅是登陸方面的問題），用來簡化/加速后續(xù)的業(yè)務(wù)請求。G4y28資訊網(wǎng)——每日最新資訊28at.com

傳統(tǒng)的 session 由服務(wù)器端生成并存儲，當(dāng)應(yīng)用進(jìn)行分布式集群部署的時候，如何保證不同服務(wù)器上 session 信息能夠共享呢？G4y28資訊網(wǎng)——每日最新資訊28at.com

2.1 Session共享方案

Session共享一般有兩種思路G4y28資訊網(wǎng)——每日最新資訊28at.com

• session復(fù)制
• session集中存儲

2.1.1 session復(fù)制

session復(fù)制即將不同服務(wù)器上 session 數(shù)據(jù)進(jìn)行復(fù)制，用戶登錄，修改，注銷時，將session信息同時也復(fù)制到其他機(jī)器上面去G4y28資訊網(wǎng)——每日最新資訊28at.com

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

這種實(shí)現(xiàn)的問題就是實(shí)現(xiàn)成本高，維護(hù)難度大，并且會存在延遲登問題。G4y28資訊網(wǎng)——每日最新資訊28at.com

2.1.2 session集中存儲

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

集中存儲就是將獲取session單獨(dú)放在一個服務(wù)中進(jìn)行存儲，所有獲取session的統(tǒng)一來這個服務(wù)中去取。這樣就避免了同步和維護(hù)多套session的問題。一般我們都是使用redis進(jìn)行集中式存儲session。G4y28資訊網(wǎng)——每日最新資訊28at.com

3 多服務(wù)下的登陸困境及SSO方案

3.1 SSO的產(chǎn)生背景

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

如果企業(yè)做大了之后，一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和 IT 服務(wù)，按照傳統(tǒng)的驗(yàn)證方式訪問多系統(tǒng)，每個單獨(dú)的系統(tǒng)都會有自己的安全體系和身份認(rèn)證系統(tǒng)。進(jìn)入每個系統(tǒng)都需要進(jìn)行登錄，獲取session，再通過session訪問對應(yīng)系統(tǒng)資源。G4y28資訊網(wǎng)——每日最新資訊28at.com

這樣的局面不僅給管理上帶來了很大的困難，對客戶來說也極不友好，那么如何讓客戶只需登陸一次，就可以進(jìn)入多個系統(tǒng)，而不需要重新登錄呢？G4y28資訊網(wǎng)——每日最新資訊28at.com

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

“單點(diǎn)登錄”就是專為解決此類問題的。其大致思想流程如下：通過一個 ticket 進(jìn)行串接各系統(tǒng)間的用戶信息G4y28資訊網(wǎng)——每日最新資訊28at.com

3.2 SSO的底層原理 CAS

3.2.1 CAS實(shí)現(xiàn)單點(diǎn)登錄流程

我們知道對于完全不同域名的系統(tǒng)，cookie 是無法跨域名共享的，因此 sessionId 在頁面端也無法共享，因此需要實(shí)現(xiàn)單店登錄，就需要啟用一個專門用來登錄的域名如（ouath.com）來提供所有系統(tǒng)的sessionId。當(dāng)業(yè)務(wù)系統(tǒng)被打開時，借助中心授權(quán)系統(tǒng)進(jìn)行登錄，整體流程如下：G4y28資訊網(wǎng)——每日最新資訊28at.com

1. 當(dāng)b.com打開時，發(fā)現(xiàn)自己未登陸，于是跳轉(zhuǎn)到ouath.com去登陸
2. ouath.com登陸頁面被打開，用戶輸入帳戶/密碼登陸成功
3. ouath.com登陸成功，種 cookie 到ouath.com域名下
4. 把 sessionid 放入后臺redis，存放<ticket，sesssionid>數(shù)據(jù)結(jié)構(gòu)，然后頁面重定向到A系統(tǒng)
5. 當(dāng)b.com重新被打開，發(fā)現(xiàn)仍然是未登陸，但是有了一個 ticket值
6. 當(dāng)b.com用ticket 值，到 redis 里查到 sessionid，并做 session 同步，然后種cookie給自己，頁面原地重定向
7. 當(dāng)b.com打開自己頁面，此時有了 cookie，后臺校驗(yàn)登陸狀態(tài)，成功

整個交互流程圖如下：G4y28資訊網(wǎng)——每日最新資訊28at.com

圖片G4y28資訊網(wǎng)——每日最新資訊28at.com

3.2.2 單點(diǎn)登錄流程演示

3.2.2.1 CAS登錄服務(wù)demo核心代碼G4y28資訊網(wǎng)——每日最新資訊28at.com

• 用戶實(shí)體類

public class UserForm implements Serializable{private static final long serialVersionUID = 1L;private String username;private String password;private String backurl;public String getUsername() {    return username;}public void setUsername(String username) {    this.username = username;}public String getPassword() {    return password;}public void setPassword(String password) {    this.password = password;}public String getBackurl() {    return backurl;}public void setBackurl(String backurl) {    this.backurl = backurl;}}

• 登錄控制器

@Controllerpublic class IndexController {    @Autowired    private RedisTemplate redisTemplate;@GetMapping("/toLogin")public String toLogin(Model model,HttpServletRequest request) {    Object userInfo = request.getSession().getAttribute(LoginFilter.USER_INFO);    //不為空，則是已登陸狀態(tài)    if (null != userInfo){        String ticket = UUID.randomUUID().toString();        redisTemplate.opsForValue().set(ticket,userInfo,2, TimeUnit.SECONDS);        return "redirect:"+request.getParameter("url")+"?ticket="+ticket;    }    UserForm user = new UserForm();    user.setUsername("laowang");    user.setPassword("laowang");    user.setBackurl(request.getParameter("url"));    model.addAttribute("user", user);    return "login";}@PostMapping("/login")public void login(@ModelAttribute UserForm user,HttpServletRequest request,HttpServletResponse response) throws IOException, ServletException {    System.out.println("backurl:"+user.getBackurl());    request.getSession().setAttribute(LoginFilter.USER_INFO,user);    //登陸成功，創(chuàng)建用戶信息票據(jù)    String ticket = UUID.randomUUID().toString();    redisTemplate.opsForValue().set(ticket,user,20, TimeUnit.SECONDS);    //重定向，回原url  ---a.com    if (null == user.getBackurl() || user.getBackurl().length()==0){        response.sendRedirect("/index");    } else {        response.sendRedirect(user.getBackurl()+"?ticket="+ticket);    }}@GetMapping("/index")public ModelAndView index(HttpServletRequest request) {    ModelAndView modelAndView = new ModelAndView();    Object user = request.getSession().getAttribute(LoginFilter.USER_INFO);    UserForm userInfo = (UserForm) user;    modelAndView.setViewName("index");    modelAndView.addObject("user", userInfo);    request.getSession().setAttribute("test","123");    return modelAndView;}}

• 登錄過濾器

public class LoginFilter implements Filter {    public static final String USER_INFO = "user";    @Override    public void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest servletRequest,                     ServletResponse servletResponse, FilterChain filterChain)        throws IOException, ServletException {    HttpServletRequest request = (HttpServletRequest) servletRequest;     HttpServletResponse response = (HttpServletResponse)servletResponse;    Object userInfo = request.getSession().getAttribute(USER_INFO);;    //如果未登陸，則拒絕請求，轉(zhuǎn)向登陸頁面    String requestUrl = request.getServletPath();    if (!"/toLogin".equals(requestUrl)//不是登陸頁面            && !requestUrl.startsWith("/login")//不是去登陸            && null == userInfo) {//不是登陸狀態(tài)        request.getRequestDispatcher("/toLogin").forward(request,response);        return ;    }    filterChain.doFilter(request,servletResponse);}@Overridepublic void destroy() {}}

• 配置過濾器

@Configurationpublic class LoginConfig {//配置filter生效@Beanpublic FilterRegistrationBean sessionFilterRegistration() {    FilterRegistrationBean registration = new FilterRegistrationBean();    registration.setFilter(new LoginFilter());    registration.addUrlPatterns("/*");    registration.addInitParameter("paramName", "paramValue");    registration.setName("sessionFilter");    registration.setOrder(1);    return registration;}}

• 登錄頁面

<!DOCTYPE HTML><html xmlns:th="http://www.thymeleaf.org"><head>    <title>enjoy login</title>    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body><div text-align="center">    <h1>請登陸</h1>    <form action="#" th:action="@{/login}" th:object="${user}" method="post">        <p>用戶名: <input type="text" th:field="*{username}" /></p>        <p>密  碼: <input type="text" th:field="*{password}" /></p>        <p><input type="submit" value="Submit" /> <input type="reset" value="Reset" /></p>        <input type="text" th:field="*{backurl}" hidden="hidden" />    </form></div></body></html>

3.2.2.2 web系統(tǒng)demo核心代碼G4y28資訊網(wǎng)——每日最新資訊28at.com

• 過濾器

public class SSOFilter implements Filter {    private RedisTemplate redisTemplate;public static final String USER_INFO = "user";public SSOFilter(RedisTemplate redisTemplate){    this.redisTemplate = redisTemplate;}@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest servletRequest,                     ServletResponse servletResponse, FilterChain filterChain)        throws IOException, ServletException {    HttpServletRequest request = (HttpServletRequest) servletRequest;    HttpServletResponse response = (HttpServletResponse)servletResponse;    Object userInfo = request.getSession().getAttribute(USER_INFO);;    //如果未登陸，則拒絕請求，轉(zhuǎn)向登陸頁面    String requestUrl = request.getServletPath();    if (!"/toLogin".equals(requestUrl)//不是登陸頁面            && !requestUrl.startsWith("/login")//不是去登陸            && null == userInfo) {//不是登陸狀態(tài)        String ticket = request.getParameter("ticket");        //有票據(jù),則使用票據(jù)去嘗試拿取用戶信息        if (null != ticket){            userInfo = redisTemplate.opsForValue().get(ticket);        }        //無法得到用戶信息，則去登陸頁面        if (null == userInfo){            response.sendRedirect("http://127.0.0.1:8080/toLogin?url="+request.getRequestURL().toString());            return ;        }        /**         * 將用戶信息，加載進(jìn)session中         */        UserForm user = (UserForm) userInfo;        request.getSession().setAttribute(SSOFilter.USER_INFO,user);        redisTemplate.delete(ticket);    }    filterChain.doFilter(request,servletResponse);}@Overridepublic void destroy() {}}

• 控制器

@Controllerpublic class IndexController {    @Autowired    private RedisTemplate redisTemplate;@GetMapping("/index")public ModelAndView index(HttpServletRequest request) {    ModelAndView modelAndView = new ModelAndView();    Object userInfo = request.getSession().getAttribute(SSOFilter.USER_INFO);    UserForm user = (UserForm) userInfo;    modelAndView.setViewName("index");    modelAndView.addObject("user", user);    request.getSession().setAttribute("test","123");    return modelAndView;}}

• 首頁

<!DOCTYPE HTML><html xmlns:th="http://www.thymeleaf.org"><head>    <title>enjoy index</title>    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body><div th:object="${user}">    <h1>cas-website：歡迎你"></h1></div></body></html>

3.2.3 CAS的單點(diǎn)登錄和OAuth2的區(qū)別

OAuth2： 三方授權(quán)協(xié)議，允許用戶在不提供賬號密碼的情況下，通過信任的應(yīng)用進(jìn)行授權(quán)，使其客戶端可以訪問權(quán)限范圍內(nèi)的資源。G4y28資訊網(wǎng)——每日最新資訊28at.com

CAS： 中央認(rèn)證服務(wù)（Central Authentication Service），一個基于Kerberos票據(jù)方式實(shí)現(xiàn)SSO單點(diǎn)登錄的框架，為Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄解決方法（屬于 Web SSO ）。G4y28資訊網(wǎng)——每日最新資訊28at.com

• CAS的單點(diǎn)登錄時保障客戶端的用戶資源的安全，OAuth2則是保障服務(wù)端的用戶資源的安全 。
• CAS客戶端要獲取的最終信息是，這個用戶到底有沒有權(quán)限訪問我（CAS客戶端）的資源。OAuth2獲取的最終信息是，我（oauth2服務(wù)提供方）的用戶的資源到底能不能讓你（oauth2的客戶端）訪問。

因此，需要統(tǒng)一的賬號密碼進(jìn)行身份認(rèn)證，用CAS；需要授權(quán)第三方服務(wù)使用我方資源，使用OAuth2；G4y28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://m.www897cc.com/showinfo-26-112778-0.html告別繁瑣操作，實(shí)現(xiàn)一次登錄產(chǎn)品互通

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 定時任務(wù)數(shù)量爆炸？Netty教你如何應(yīng)對百萬級挑戰(zhàn)

下一篇： PHP異步非阻塞MySQL客戶端連接池