目录
同端互斥登录
单点登录SSO
架构选型
模式二: URL重定向传播
前后端分离
整体流程
准备工作
搭建客户端
搭建认证中心SSO Server
环境配置
开放认证接口
启动类
跨域处理
同端互斥登录
同端互斥登陆 模块
同端互斥登录指:同一类型设备上只允许单地点登录,在不同类型设备上允许同时在线。比如 QQ 可以手机电脑同时在线,但是不能在两个手机上同时登录一个账号。具体步骤如下
sa-token:# token 名称(同时也是 cookie 名称)token-name: praxisAI# token 有效期(单位:秒) 默认30天,-1 代表永久有效timeout: 2592000# token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结active-timeout: -1# 是否开启同端互斥登录 (false开启)is-concurrent: false # 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token)is-share: true# token 风格(默认可取值:uuid、simple-uuid、random-32、random-64、random-128、tik)token-style: uuid# 是否输出操作日志is-log: true-
在配置文件中,将
isConcurrent配置为false -
DeviceUtils工具类:判断前端请求传来的设备信息,比如pc,后续设置到Sa-Token登录态中
//设备工具类
public class DeviceUtils {//根据请求获取设备信息public static String getRequestDevice(HttpServletRequest request) {String userAgentStr = request.getHeader(Header.USER_AGENT.toString());// 使用 Hutool 解析 UserAgentUserAgent userAgent = UserAgentUtil.parse(userAgentStr);ThrowUtils.throwIf(userAgent == null, ErrorCode.OPERATION_ERROR, "非法请求");// 默认值是 PCString device = "pc";// 是否为小程序if (isMiniProgram(userAgentStr)) {device = "miniProgram";} else if (isPad(userAgentStr)) {// 是否为 Paddevice = "pad";} else if (userAgent.isMobile()) {// 是否为手机device = "mobile";}return device;}/*** 判断是否是小程序* 一般通过 User-Agent 字符串中的 "MicroMessenger" 来判断是否是微信小程序**/private static boolean isMiniProgram(String userAgentStr) {// 判断 User-Agent 是否包含 "MicroMessenger" 表示是微信环境return StrUtil.containsIgnoreCase(userAgentStr, "MicroMessenger")&& StrUtil.containsIgnoreCase(userAgentStr, "MiniProgram");}/*** 判断是否为平板设备* 支持 iOS(如 iPad)和 Android 平板的检测**/private static boolean isPad(String userAgentStr) {// 检查 iPad 的 User-Agent 标志boolean isIpad = StrUtil.containsIgnoreCase(userAgentStr, "iPad");// 检查 Android 平板(包含 "Android" 且不包含 "Mobile")boolean isAndroidTablet = StrUtil.containsIgnoreCase(userAgentStr, "Android")&& !StrUtil.containsIgnoreCase(userAgentStr, "Mobile");// 如果是 iPad 或 Android 平板,则返回 truereturn isIpad || isAndroidTablet;}
}3. 登录时传入参数
// 使用 Sa-Token 登录,并指定设备,同端登录互斥
StpUtil.login(user.getId(), DeviceUtils.getRequestDevice(request));//例如 调用此方法登录后,同设备的会被顶下线(不同设备不受影响)
StpUtil.login(10001, "PC"); Sa-Token 在背后做了大量的工作,包括
-
检查此账号是否之前已有登录,为账号生成
Token(uuid 风格) 凭证与Session会话 -
记录 Token 活跃时间;
-
通知全局侦听器,xx 账号登录成功;
-
将
Token注入到请求上下文返回给前端 等等其它工作……(利用cookie自动注入特性)-
Cookie 可以从后端控制往浏览器中写入 token 值。
-
Cookie 会在前端每次发起请求时自动提交 token 值。
-
JWT token模式
//1、登录成功后:后端将 token 返回到前端 SaTokenInfo tokenInfo = StpUtil.getTokenInfo(); //包括tokenName和tokenValue return SaResult.data(tokenInfo); //返回给前端 //2.前端保存到localstorge中,下次请求带上 //3.后端Sa-Token 就能像传统PC端一样自动读取到 token 值,进行鉴权
记住我模式
原理:调用
StpUtil.login(10001, true),在浏览器写入一个持久Cookie储存 Token,此时用户即使重启浏览器 Token 依然有效。
Sa-Token的登录授权,默认就是[记住我]模式,为了实现[非记住我]模式,你需要在登录时如下设置
// 设置登录账号id为10001,第二个参数指定是否为[记住我],当此值为false后,关闭浏览器后再次打开需要重新登录 StpUtil.login(10001, false);
注销模块
// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`:代表当前会话暂未登录 StpUtil.checkLogin(); // 移除登录态 StpUtil.logout();
获取当前登录用户
// 获取当前会话账号id, 如果未登录,则返回 null
Object loginUserId = StpUtil.getLoginIdDefaultNull();
if (loginUserId == null) {throw new BusinessException(ErrorCode.NOT_LOGIN_ERROR);
}
User currentUser = this.getById((String) loginUserId);
if (currentUser == null) {throw new BusinessException(ErrorCode.NOT_LOGIN_ERROR);
}
return currentUser;
单点登录SSO
Sa-Token
单点登录举个例子理解
假设系统被切割为多个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么这样就很麻烦了, 为了优化用户体验,需要一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,可以畅通无阻的访问其它所有系统。
凡是稍微上点规模的系统,统一认证中心都是绕不过去的槛。
架构选型
| 系统架构 | 采用模式 | 简介 | 文档链接 |
|---|---|---|---|
| 前端同域 + 后端同 Redis | 模式一 | 共享 Cookie 同步会话 | 文档、示例 |
| 前端不同域 + 后端同 Redis | 模式二 | URL重定向传播会话 | 文档、示例 |
| 前端不同域 + 后端不同 Redis | 模式三 | Http请求获取会话 | 文档、示例 |
-
前端同域:指多个系统可以部署在同一个主域名之下,比如:
c1.domain.com、c2.domain.com、c3.domain.com。 -
后端同Redis:指多个系统可以连接同一个Redis,PS:这里并不需要把所有项目的数据都放在同一个Redis中,Sa-Token提供了
[权限缓存与业务缓存分离]的解决方案,详情戳: Alone独立Redis插件。 -
模式三:Http请求获取会话(Sa-Token对SSO提供了完整的封装,只需要复制几段代码便可以轻松集成)
根据本项目场景,后端同Redis,所以选择模式二+ 前后端分离架构
SaToken SSO优势
-
API 简单易用,且官方文档介绍很详细。
-
支持三种模式,是否跨域、是否共享Redis、是否前后端分离 等场景很轻松解决
-
内置域名校验、密钥校验、
Token防窃取,安全性很高 -
不丢参数,相比其他单点登录框架,
Sa-Token-SSO内有专门的算法保证了参数不丢失,登录成功之后原路返回页面。
模式二: URL重定向传播
如果多个系统部署在不同的域名之下,但是后端可以连接同一个Redis,那么便可以使用 [URL重定向传播会话] 的方式做到单点登录
首先我们再次复习一下,多个系统之间为什么无法同步登录状态?
前端的
Token无法在多个系统下共享。后端的
Session无法在多个系统间共享。第二点官方已使用 Alone独立Redis插件 做到权限缓存直连 SSO-Redis 数据中心,不再赘述。
未登录,客户端页面显示“登录”链接。
点击登录,携带当前页面
back参数(包含客户端host),跳转到当前客户端的/sso/login接口
未登录时,重定向到SSO服务器的登录页
用户在SSO登录页登录成功后,SSO服务器返回
ticket,重定向回指定客户端客户端通过
SaSsoClientProcessor向SSO服务器验证ticket的有效性,获取用户ID使用
StpUtil.login(userId)在本地登录用户
在跨域模式下, "共享Cookie方案" 的失效,所以必须采用一种新的方案来传递Token。
前后端分离
首先理解对于一个前后端分离项目,即我们的系统,整体流程是这样的
前端==>后端==>重定向到SSO认证中心(展示页面,所以SSO服务器代码是前后端不分离的,主要作用就是:展示登录页,校验登录和重定向)
这种情况要考虑跨域,即客户端与 SSO 服务器部署在不同域,缺点:前端需主动调用 /sso/getSsoAuthUrl 获取登录地址,并处理重定向逻辑
整体流程
-
前端页面点击
[登录]后触发调用登录函数,调用后端接口/sso/login,并携带back参数( 包含客户端host )-
形如:
http://{sso-client}/sso/login?back=xxx
-
-
若子系统检测到此用户尚未登录,则直接重定向到SSO认证中心,并携带
redirect参数(记录子系统的登录页URL)-
形如:
http://{sso-server}/sso/auth?redirect=xxx?back=xxx
-
-
用户进入 SSO认证中心 的登录页面,开始登录。
-
用户 输入账号密码 并 登录成功,SSO认证中心下放
ticket码参数。重定向回客户端的登录接口/sso/login-
形如:
http://{sso-client}/sso/login?back=xxx&ticket=xxxxxxxxx
-
-
客户端通过
SaSsoClientProcessor向SSO服务器验证ticket的有效性,获取用户ID,使用StpUtil.login(userId)在本地登录用户 -
其他客户端尝试登录后,前面步骤一样,到了请求发到
SSO服务器,会通过sso/auth判断是否已经登录(已登录内部是通过redis查看用户id来判断的)然后直接返回Ticket进行登录即可
整个过程,除了第四步用户在SSO认证中心登录时会被打断,其余过程均是自动化的
当用户在另一个子系统再次点击[登录]按钮,由于此用户在SSO认证中心已有会话存在, 所以第四步也将自动化,也就是单点登录的最终目的 一次登录,处处通行。
流程如下
准备工作
首先修改hosts文件(C:\Windows\System32\drivers\etc\hosts),添加以下IP映射,方便测试:
127.0.0.1 sa-sso-server.com #ip映射,用于测试多个客户端单点登录
127.0.0.1 sa-sso-client1.com
127.0.0.1 sa-sso-client2.com搭建客户端
客户端就是我们的后端服务器,考虑到前后分离架构,比如用VUE3前端,下面是一个模拟的前端例子
<!-- 项目首页 -->
<template><h2> Sa-Token SSO-Client 应用端(前后端分离版-Vue3) </h2><p>当前是否登录:<b>{{isLogin}}</b></p><p><router-link :to="loginUrl">登录</router-link> <!--点击登录后携带back参数请求后端sso/login接口--></p>
</template><script setup>
import { ref } from 'vue'
import {baseUrl, ajax} from './method-util.js'// 单点登录地址
const loginUrl = '/api/sso/login?back=' + encodeURIComponent(location.href);
// 是否登录
const isLogin = ref(false);// 1.查询当前会话是否登录
ajax('/api/sso/isLogin', {}, function (res) {console.log('/isLogin 返回数据:', res);isLogin.value = res.data;
})
</script><!-- Sa-Token-SSO-Client端-登录页 -->
<template>
</template>
<script setup>
import {onMounted} from "vue";
import {ajax, getParam} from './method-util.js';
import router from '../router';// 获取参数
const back = getParam('back') || router.currentRoute.value.query.back;
const ticket = getParam('ticket') || router.currentRoute.value.query.ticket;console.log('获取 back 参数:', back)
console.log('获取 ticket 参数:', ticket)// 页面加载后触发
onMounted(() => {if(ticket) { //2.如果ticket存在,则尝试通过ticket登录doLoginByTicket(ticket);} else {goSsoAuthUrl(); //3.不存在,则重定向至认证中心}
})// 重定向至认证中心方法
function goSsoAuthUrl() {ajax('/api/sso/getSsoAuthUrl', {clientLoginUrl: location.href}, function(res) {console.log('/api/sso/getSsoAuthUrl 返回数据', res);location.href = res.data;})
}// 根据ticket值登录 方法
function doLoginByTicket(ticket) {ajax('/api/sso/doLoginByTicket', {ticket: ticket}, function(res) {console.log('/api/sso/doLoginByTicket 返回数据', res);if(res.code === 200) {localStorage.setItem('satoken', res.data);location.href = decodeURIComponent(back);} else {alert(res.msg);}})
}
</script>搭建后端
环境配置
<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-spring-boot-starter</artifactId><version>1.40.0</version></dependency><!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-redis-jackson</artifactId><version>1.40.0</version></dependency><!-- 提供Redis连接池 --><dependency><groupId>org.apache.commons</groupId><artifactId>commons-pool2</artifactId></dependency><!-- Sa-Token 插件:整合SSO --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-sso</artifactId><version>1.40.0</version></dependency><!-- Sa-Token插件:权限缓存与业务缓存分离 --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-alone-redis</artifactId><version>1.40.0</version></dependency>配置文件中整合sso-client相关配置+API密钥+redis存ticket
sa-token:# token 名称(同时也是 cookie 名称)token-name: praxisAI# token 有效期 2天(单位:秒) 默认30天,-1 代表永久有效timeout: 172800# token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结active-timeout: -1# 是否开启同端互斥登录 (false开启)is-concurrent: false# 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token)is-share: true# token 风格(默认可取值:uuid、simple-uuid、random-32、random-64、random-128、tik)token-style: uuid# 是否输出操作日志is-log: true# SSO-相关配置sso-client:# SSO-Server 端主机地址server-url: http://sa-sso-server.com:9000sign:# API 接口调用秘钥,确保和服务端一致,sa-token官方文档会给secret-key: xxxx# 配置Sa-Token单独使用的Redis连接 (此处需要和SSO-Server端连接同一个Redis)alone-redis:# Redis数据库索引 (默认为0)database: 1# Redis服务器地址host: xxx# Redis服务器连接端口port: 6379# Redis服务器连接密码(默认为空)password: xxxtimeout: 10slettuce:pool:# 连接池最大连接数max-active: 200# 连接池最大阻塞等待时间(使用负值表示没有限制)max-wait: -1ms# 连接池中的最大空闲连接max-idle: 10# 连接池中的最小空闲连接min-idle: 0
forest:# 关闭 forest 请求日志打印log-enabled: false新建
Controller作为客户端接口,用于重定向到SSO服务器和接收服务器参数
//前后台分离架构下集成SSO所需的代码 (SSO-Client端)
@RestController
public class H5Controller {// 当前是否登录@GetMapping("/sso/isLogin")public Object isLogin() {return SaResult.data(StpUtil.isLogin());}// 返回SSO认证中心登录地址 @GetMapping("/sso/getSsoAuthUrl")public SaResult getSsoAuthUrl(String clientLoginUrl) {String serverAuthUrl = SaSsoUtil.buildServerAuthUrl(clientLoginUrl, "");return SaResult.data(serverAuthUrl);}// 根据ticket进行登录@PostMapping("/sso/doLoginByTicket")public SaResult doLoginByTicket(String ticket) {SaCheckTicketResult ctr = SaSsoClientProcessor.instance.checkTicket(ticket, "/api/sso/doLoginByTicket");StpUtil.login(ctr.loginId, ctr.remainSessionTimeout);return SaResult.data(StpUtil.getTokenValue());}// 全局异常拦截 @ExceptionHandlerpublic SaResult handlerException(Exception e) {e.printStackTrace(); return SaResult.error(e.getMessage());}
}搭建认证中心SSO Server
新建一个springboot项目作为认证中心,本项目后端系统算做一个客户端client,后续引入多个后端系统,也可以按照客户端方式构建
环境配置
<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-spring-boot-starter</artifactId><version>1.40.0</version>
</dependency>
<!-- Sa-Token 插件:整合SSO -->
<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-sso</artifactId><version>1.40.0</version>
</dependency>
<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-redis-jackson</artifactId><version>1.40.0</version>
</dependency>
<dependency><groupId>org.apache.commons</groupId><artifactId>commons-pool2</artifactId>
</dependency>
<!-- redis -->
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId>
</dependency><!-- 除此之外还需要引入mysql数据库的一些依赖,因为要在认证中心实现登录校验 --># 端口
server:port: 9000
# Sa-Token 配置
sa-token:# ------- SSO-模式二相关配置 sso-server:# Ticket有效期 (单位: 秒),默认五分钟 ticket-timeout: 300# 所有允许的授权回调地址allow-url: "http://sa-sso-client1/api/sso/login,http://sa-sso-client2/api/sso/login"sign:# API 接口调用秘钥secret-key: xxx
spring:datasource:driver-class-name: com.mysql.cj.jdbc.Driverurl: jdbc:mysql://xxx/xxxusername: xxxpassword: xxx# Redis配置 (SSO模式一和模式二使用Redis来同步会话)redis:# Redis数据库索引(默认为0)database: 1# Redis服务器地址host: xxx# Redis服务器连接端口port: 6379# Redis服务器连接密码(默认为空)password: xxx# 连接超时时间timeout: 10slettuce:pool:# 连接池最大连接数max-active: 200# 连接池最大阻塞等待时间(使用负值表示没有限制)max-wait: -1ms# 连接池中的最大空闲连接max-idle: 10# 连接池中的最小空闲连接min-idle: 0forest: # 关闭 forest 请求日志打印log-enabled: false开放认证接口
新建 SsoServerController,用于对外开放接口,先直接拉官方server-demo,在修改
//SSO Server端 Controller
@RestController
public class SsoServerController {//处理所有SSO相关请求:拆分式路由// SSO-Server:统一认证地址,接受参数:redirect=授权重定向地址// 作用: 用户未登录,重定向到登陆页面// ** 已登录,生成Ticket重定向回客户端**(已登录内部是通过redis查看用户id来判断的)@RequestMapping("/sso/auth")public Object ssoAuth() {return SaSsoServerProcessor.instance.ssoAuth();}// SSO-Server:RestAPI 登录接口,账号密码登录接口,接受参数:name、pwd// 作用: 处理登录表单提交,调用doLoginHandle进行验证// 验证成功后生成SSO票据并返回给客户端@RequestMapping("/sso/doLogin")public Object ssoDoLogin() {return SaSsoServerProcessor.instance.ssoDoLogin();}/*** 盐值,混淆密码*/public static final String SALT = "kk";@Resourceprivate UserService userService;// 配置SSO相关参数 @Autowiredprivate void configSso(SaSsoServerConfig ssoServer) {// 自定义API地址,用于修改统一认证中心的地址//SaSsoServerProcessor.instance.ssoServerTemplate.apiName.ssoAuth = "/sso/auth2";// 配置:未登录时返回的ViewssoServer.notLoginView = () -> {return new ModelAndView("sa-login.html");};// 配置:登录处理函数 参数:账号密码ssoServer.doLoginHandle = (name, pwd) -> {// 1. 校验if (StringUtils.isAnyBlank(name, pwd)) {return SaResult.error("参数为空");}if (name.length() < 4) {return SaResult.error( "账号错误");}if (pwd.length() < 8) {return SaResult.error("密码错误");}// 2. 加密String encryptPassword = DigestUtils.md5DigestAsHex((SALT + pwd).getBytes());// 查询用户是否存在QueryWrapper<User> queryWrapper = new QueryWrapper<>();queryWrapper.eq("userAccount", name);queryWrapper.eq("userPassword", encryptPassword);User user = userService.getUserInfo(queryWrapper);// 用户不存在if (user == null) {// 登录失败,重定向到 /sso/auth 并携带错误参数return "redirect:/sso/auth?error=用户不存在或密码错误";}// 获取当前请求HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes()).getRequest();String device = DeviceUtils.getRequestDevice(request);// 使用 Sa-Token 登录,并指定设备,同端登录互斥StpUtil.login(user.getId(), device);StpUtil.getSession().set("user_login", user);return SaResult.ok("登录成功!").setData(StpUtil.getTokenValue());};}// 在 SsoServerController 或全局配置中添加@Beanpublic SaServletFilter saServletFilter() {return new SaServletFilter().setBeforeAuth(obj -> {// 设置响应头防止缓存SaHolder.getResponse().setHeader("Cache-Control", "no-cache, no-store, must-revalidate");SaHolder.getResponse().setHeader("Pragma", "no-cache");SaHolder.getResponse().setHeader("Expires", "0");});}
}启动类
@SpringBootApplication
public class MainApplication {public static void main(String[] args) {SpringApplication.run(MainApplication.class, args);}System.out.println();System.out.println("---------------------- Sa-Token SSO 统一认证中心启动成功 ----------------------");System.out.println("配置信息:" + SaSsoManager.getServerConfig());System.out.println();
}跨域处理
配置项 sa-token.sso-server.allow-url=* 意为配置所有允许的Client端授权地址,不在此配置项中的URL将无法单点登录成功
但是,在生产环境中,此配置项绝对不能配置为 * ,否则会有被Ticket劫持的风险
假设攻击者根据模仿我们的授权地址,巧妙的构造一个URL
http://sa-sso-server.com:9000/sso/auth?redirect=https://www.baidu.com/
当不知情的小白被诱导访问了这个URL时,它将被重定向至百度首页,代表着用户身份的Ticket码也显现到了URL之中
防范处理
对redirect参数进行校验,如果其不在指定的URL列表中时,拒绝下放ticket
#SSO服务器端进行配置 sa-token: sso-server: # 配置允许单点登录的 url allow-url: "http://localhost:8101/sso/login" #配置到详细地址
为什么不直接回传 Token,而是先回传 Ticket,再用 Ticket 去查询对应的账号id?
Token 作为长时间有效的会话凭证,任何时候都不应该直接暴露在 URL 之中(虽然 Token 很安全,但会直接暴露为很多漏洞提供可乘之机)
为了让系统绝对安全,选择先回传 Ticket,再由Ticket获取账号id,而且 Ticket 一次性用完即废,提高安全性。
![# [RPA] 使用八爪鱼进行高效网页数据采集](https://i-blog.csdnimg.cn/direct/c9f9494b214c4a0198f45ce83712103d.png)
