互联网|10张流程图+部署图,讲透单点登录原理与简单实现( 四 )
@RequestMapping("/login")public String login(String username, String password, HttpServletRequest req) { this.checkLoginInfo(username, password) req.getSession().setAttribute("isLogin", true) return "success"}
4、sso-server创建授权令牌
授权令牌是一串随机字符 , 以什么样的方式生成都没有关系 , 只要不重复、不易伪造即可 , 下面是一个例子
String token = UUID.randomUUID().toString()
5、sso-client取得令牌并校验
sso认证中心登录后 , 跳转回子系统并附上令牌 , 子系统(sso-client)取得令牌 , 然后去sso认证中心校验 , 在LoginFilter.java的doFilter()中添加几行
// 请求附带token参数String token = req.getParameter("token")if (token != null) { // 去sso认证中心校验token boolean verifyResult = this.verify("sso-server-verify-url", token) if (!verifyResult) { res.sendRedirect("sso-server-url") return } chain.doFilter(request, response)}
verify()方法使用httpClient实现 , 这里仅简略介绍 , httpClient详细使用方法请参考官方文档
HttpPost httpPost = new HttpPost("sso-server-verify-url-with-token")HttpResponse httpResponse = httpClient.execute(httpPost)
6、sso-server接收并处理校验令牌请求
用户在sso认证中心登录成功后 , sso-server创建授权令牌并存储该令牌 , 所以 , sso-server对令牌的校验就是去查找这个令牌是否存在以及是否过期 , 令牌校验成功后sso-server将发送校验请求的系统注册到sso认证中心(就是存储起来的意思)
令牌与注册系统地址通常存储在key-value数据库(如redis)中 , redis可以为key设置有效时间也就是令牌的有效期 。 redis运行在内存中 , 速度非常快 , 正好sso-server不需要持久化任何数据 。
令牌与注册系统地址可以用下图描述的结构存储在redis中 , 可能你会问 , 为什么要存储这些系统的地址?
如果不存储 , 注销的时候就麻烦了 , 用户向sso认证中心提交注销请求 , sso认证中心注销全局会话 , 但不知道哪些系统用此全局会话建立了自己的局部会话 , 也不知道要向哪些子系统发送注销请求注销局部会话
本文插图
7、sso-client校验令牌成功创建局部会话
令牌校验成功后 , sso-client将当前局部会话标记为“已登录” , 修改LoginFilter.java , 添加几行
if (verifyResult) { session.setAttribute("isLogin", true)}
sso-client还需将当前会话id与令牌绑定 , 表示这个会话的登录状态与令牌相关 , 此关系可以用java的hashmap保存 , 保存的数据用来处理sso认证中心发来的注销请求
8、注销过程
用户向子系统发送带有“logout”参数的请求(注销请求) , sso-client拦截器拦截该请求 , 向sso认证中心发起注销请求
String logout = req.getParameter("logout")if (logout != null) { this.ssoServer.logout(token)}
sso认证中心也用同样的方式识别出sso-client的请求是注销请求(带有“logout”参数) , sso认证中心注销全局会话
@RequestMapping("/logout")public String logout(HttpServletRequest req) { HttpSession session = req.getSession() if (session != null) { session.invalidate()//触发LogoutListener } return "redirect:/"}
sso认证中心有一个全局会话的监听器 , 一旦全局会话注销 , 将通知所有注册系统注销
public class LogoutListener implements HttpSessionListener { @Override public void sessionCreated(HttpSessionEvent event) {} @Override public void sessionDestroyed(HttpSessionEvent event) { //通过httpClient向所有注册系统发送注销请求 }}
推荐阅读
- Spacex|卫星互联网轨道资源稀缺,中国航天如何与国际卫星界大亨竞争?
- 互联网|建行“数字人民币钱包”已上线 仅限部分测试地区开通
- 行业互联网|大华股份与大连量天科技签署战略合作协议
- 行业互联网|原创 估值2000亿!刘强东手中这张“独角兽”,成立时间竟然不到两年?
- 行业互联网|李炳忠15点正式官宣,realme成立2年,稳居全球第七!
- 互联网|同城跑腿配送生意好做吗?需要注意什么?
- 互联网|招生部门公号也有高仿?!微信回应:已清除三千多个
- 互联网|马云最重要一次蜕变,高考失利后蹬三轮遇见他,改变了其一生轨迹
- 行业互联网|中兴通讯发布2020年半年度报告 营业收入达472亿元
- 互联网乱侃秀|5nm芯片,有EDA软件设计费4000万美元,没有EDA要77亿美元?