基于Spring Cloud,写了一个单点登陆的starter
介绍
最近写了一个项目,用了一下公司的单点登陆starter,感觉和我上个公司的单点登陆组件差不多,只不过一个是基于Spring Boot + Dubbo写的,一个是基于Spring Cloud写的。因为对Spring Cloud更熟悉一点把,索性就用Spring Cloud写了一个单点登陆的starter。当然还有很多可以完善的细节,后续会陆续迭代把,欢迎star
github地址:https://github.com/erlieStar/sso-spring-cloud-project
单系统登陆
在企业的发展初期,系统不是很多,每个系统也比较独立,每个系统都有各自的登陆模块,各类工作人员每天只登陆自己负责的系统即可。
这个时候登陆的实现比较简单,基于cookie和session就能实现,不再详细介绍
多系统登陆
随着企业的发展,系统越来越多,并且信息化程度也越来越高。各种系统之间的数据逐渐打通,工作流程形成闭环,这时系统逐渐微服务化。但是用户用着不爽了,每天工作得登录好几个系统,超级麻烦啊,能不能登陆一次就能在多个系统之间随意访问。为了应对这种场景,就得新建一个登陆服务
比如我访问财务系统,没有登陆,然后跳转到登陆系统,登陆成功后,随意访问财务系统,运营系统,工单系统。
这就是单点登陆的思想,在多个系统中,只需要登录一次,就可以访问其他相互信任的系统,那应该怎么实现呢?
既然是微服务,登陆系统不可能只能一个节点,如果还用cookie和session来实现,就会有问题。例如,登陆请求发到节点1,session存到节点1,第二次请求需要获取用户信息发到节点2,结果节点2找不到对应的session信息,让用户重新登陆。
既然用户信息放到session中,不能共享,那我们将用户信息放到第三方组件,如mysql,redis中
说一下基于mysql的实现
用户信息表定义如下
CREATE TABLE `user_info` (
`id` int(11) NOT NULL AUTO_INCREMENT COMMENT '自增主键,用户id',
`username` varchar(30) NOT NULL COMMENT '用户姓名',
`password` varchar(60) NOT NULL COMMENT '密码',
`token` varchar(60) DEFAULT NULL COMMENT 'token',
`token_expire` datetime DEFAULT NULL COMMENT 'token失效时间',
`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',
PRIMARY KEY (`id`) USING BTREE,
KEY `idx_token_tokenExpire` (`token`,`token_expire`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4 COMMENT='用户信息表';
- 用户每次登陆先生成一个token,例如token=md5(userId+时间戳),登陆成功后,reponse设置cookie,loginToken(cookie名)=token(cookie值)
- 各个子系统配置登陆拦截器,没有找到cookie名字为loginToken则提示需要登陆,如果有取出value访问登陆系统判断用户是否已经登陆,返回成功,进入系统,返回失败,提示登陆。
- 登陆系统校验用户登陆也特别简单,根据各个子系统传入的token值,从user_info表中查询用户信息,查不到则返回登陆失败,查到再判断当前时间是否大于tokenExpire,如果大于也返回登陆失败,否则返回登陆成功,如果愿意的话每次请求你都可以重新刷新tokenExpire
当然还有一个需要注意的点,通常每个服务都有自己的域名,如财务系统的域名为financial.javashitang.com,运营系统的域名为operate.javashitang.com,登陆系统的域名为sso.javashitang.com。
如果用户登陆后,cookie的domain属性是sso.javashitang.com,由于cookie是不能跨域的,所以用户在访问financial.javashitang.com和operate.javashitang.com的时候不会带上这个cookie,所以该如何解决呢?
同域下的登陆
用户登陆后,cookie域设置为顶域,即.javashitang.com,这样所有的子系统都可以访问到顶域的cookie,访问sso.javashitang.com,financial.javashitang.com都会带上这个cookie
不同域下的登陆
同域下的单点登录用了cookie的顶域特性,那么不同域呢?其实也不难搞,之前我们把token放到cookie中。现在登陆的时候直接通过接口返回,用户请求的时候将token放到header中,放到请求参数中也行,只不过可能会有安全问题。
我看网上有很多文章介绍用cas实现单点登录,没啥经验,有兴趣的可以参考相关资料
开源项目
如果你对单点登录,Spring Cloud,Spring Boot Starter感兴趣的话,可以看一下我针对这篇文章写的demo,实现单点登录真的超级简单。
- 加依赖
- 配置类上加上@EnableSso
- 写如下配置
javashitang:
sso:
enable: true # 是否启用sso,加上@EnableSso注解,但是enable为false也不会启用
includePattern: # 要拦截的路径,多个用英文逗号分隔
excludePattern: # 要排除的路径,多个用英文逗号分隔
不能再简单了吧?
github地址:https://github.com/erlieStar/sso-spring-cloud-project
文章转载自公众号:Java识堂