java web應(yīng)用如何實現(xiàn)單點登錄

實現(xiàn)方式一：父域 Cookie

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信平臺小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了青神免費建站歡迎大家使用！

實現(xiàn)方式二：認證中心

實現(xiàn)方式三：LocalStorage?跨域

補充：域名分級

在 B/S 系統(tǒng)中，登錄功能通常都是基于 Cookie 來實現(xiàn)的。當用戶登錄成功后，一般會將登錄狀態(tài)記錄到 Session 中，或者是給用戶簽發(fā)一個 Token，無論哪一種方式，都需要在客戶端保存一些信息（Session ID 或 Token ），并要求客戶端在之后的每次請求中攜帶它們。在這樣的場景下，使用 Cookie 無疑是最方便的，因此我們一般都會將 Session 的 ID 或 Token 保存到 Cookie 中，當服務(wù)端收到請求后，通過驗證 Cookie 中的信息來判斷用戶是否登錄 。

單點登錄（Single Sign On, SSO）是指在同一帳號平臺下的多個應(yīng)用系統(tǒng)中，用戶只需登錄一次，即可訪問所有相互信任的應(yīng)用系統(tǒng)。舉例來說，百度貼吧和百度地圖是百度公司旗下的兩個不同的應(yīng)用系統(tǒng)，如果用戶在百度貼吧登錄過之后，當他訪問百度地圖時無需再次登錄，那么就說明百度貼吧和百度地圖之間實現(xiàn)了單點登錄。

單點登錄的本質(zhì)就是在多個應(yīng)用系統(tǒng)中共享登錄狀態(tài)。如果用戶的登錄狀態(tài)是記錄在 Session 中的，要實現(xiàn)共享登錄狀態(tài)，就要先共享 Session，比如可以將 Session 序列化到 Redis 中，讓多個應(yīng)用系統(tǒng)共享同一個 Redis，直接讀取 Redis 來獲取 Session。

當然僅此是不夠的，因為不同的應(yīng)用系統(tǒng)有著不同的域名，盡管 Session 共享了，但是由于 Session ID 是往往保存在瀏覽器 Cookie 中的，因此存在作用域的限制，無法跨域名傳遞，也就是說當用戶在 app1點抗 中登錄后，Session ID 僅在瀏覽器訪問 app1點抗 時才會自動在請求頭中攜帶，而當瀏覽器訪問 app2點抗 時，Session ID 是不會被帶過去的。實現(xiàn)單點登錄的關(guān)鍵在于，如何讓 Session ID（或 Token）在多個域中共享。

實現(xiàn)方式一：父域 Cookie

在將具體實現(xiàn)之前，我們先來聊一聊 Cookie 的作用域。

Cookie 的作用域由 domain 屬性和 path 屬性共同決定。domain 屬性的有效值為當前域或其父域的域名/IP地址，在 Tomcat 中，domain 屬性默認為當前域的域名/IP地址。path 屬性的有效值是以“/”開頭的路徑，在 Tomcat 中，path 屬性默認為當前 Web 應(yīng)用的上下文路徑。

如果將 Cookie 的 domain 屬性設(shè)置為當前域的父域，那么就認為它是父域 Cookie。Cookie 有一個特點，即父域中的 Cookie 被子域所共享，換言之，子域會自動繼承父域中的Cookie。

利用 Cookie 的這個特點，不難想到，將 Session ID（或 Token）保存到父域中不就行了。沒錯，我們只需要將 Cookie 的 domain 屬性設(shè)置為父域的域名（主域名），同時將 Cookie 的 path 屬性設(shè)置為根路徑，這樣所有的子域應(yīng)用就都可以訪問到這個 Cookie 了。不過這要求應(yīng)用系統(tǒng)的域名需建立在一個共同的主域名之下，如 tieba.baidu點抗 和 map.baidu點抗 ，它們都建立在 baidu點抗 這個主域名之下，那么它們就可以通過這種方式來實現(xiàn)單點登錄。

總結(jié)：此種實現(xiàn)方式比較簡單，但不支持跨主域名。

實現(xiàn)方式二：認證中心

我們可以部署一個認證中心，認證中心就是一個專門負責處理登錄請求的獨立的 Web 服務(wù)。

用戶統(tǒng)一在認證中心進行登錄，登錄成功后，認證中心記錄用戶的登錄狀態(tài)，并將 Token 寫入 Cookie。（注意這個 Cookie 是認證中心的，應(yīng)用系統(tǒng)是訪問不到的。）

應(yīng)用系統(tǒng)檢查當前請求有沒有 Token，如果沒有，說明用戶在當前系統(tǒng)中尚未登錄，那么就將頁面跳轉(zhuǎn)至認證中心。由于這個操作會將認證中心的 Cookie 自動帶過去，因此，認證中心能夠根據(jù) Cookie 知道用戶是否已經(jīng)登錄過了。如果認證中心發(fā)現(xiàn)用戶尚未登錄，則返回登錄頁面，等待用戶登錄，如果發(fā)現(xiàn)用戶已經(jīng)登錄過了，就不會讓用戶再次登錄了，而是會跳轉(zhuǎn)回目標 URL ，并在跳轉(zhuǎn)前生成一個 Token，拼接在目標 URL 的后面，回傳給目標應(yīng)用系統(tǒng)。

應(yīng)用系統(tǒng)拿到 Token 之后，還需要向認證中心確認下 Token 的合法性，防止用戶偽造。確認無誤后，應(yīng)用系統(tǒng)記錄用戶的登錄狀態(tài)，并將 Token 寫入 Cookie，然后給本次訪問放行。（注意這個 Cookie 是當前應(yīng)用系統(tǒng)的，其他應(yīng)用系統(tǒng)是訪問不到的。）當用戶再次訪問當前應(yīng)用系統(tǒng)時，就會自動帶上這個 Token，應(yīng)用系統(tǒng)驗證 Token 發(fā)現(xiàn)用戶已登錄，于是就不會有認證中心什么事了。

這里順便介紹兩款認證中心的開源實現(xiàn)：

Apereo CAS 是一個企業(yè)級單點登錄系統(tǒng)，其中 CAS 的意思是”Central Authentication Service“。它最初是耶魯大學實驗室的項目，后來轉(zhuǎn)讓給了 JASIG 組織，項目更名為 JASIG CAS，后來該組織并入了Apereo 基金會，項目也隨之更名為 Apereo CAS。

XXL-SSO 是一個簡易的單點登錄系統(tǒng)，由大眾點評工程師許雪里個人開發(fā)，代碼比較簡單，沒有做安全控制，因而不推薦直接應(yīng)用在項目中，這里列出來僅供參考。

總結(jié)：此種實現(xiàn)方式相對復(fù)雜，支持跨域，擴展性好，是單點登錄的標準做法。

實現(xiàn)方式三：LocalStorage 跨域

前面，我們說實現(xiàn)單點登錄的關(guān)鍵在于，如何讓 Session ID（或 Token）在多個域中共享。

父域 Cookie 確實是一種不錯的解決方案，但是不支持跨域。那么有沒有什么奇淫技巧能夠讓 Cookie 跨域傳遞呢？

很遺憾，瀏覽器對 Cookie 的跨域限制越來越嚴格。Chrome 瀏覽器還給 Cookie 新增了一個 SameSite 屬性，此舉幾乎禁止了一切跨域請求的 Cookie 傳遞（超鏈接除外），并且只有當使用 HTTPs 協(xié)議時，才有可能被允許在 AJAX 跨域請求中接受服務(wù)器傳來的 Cookie。

不過，在前后端分離的情況下，完全可以不使用 Cookie，我們可以選擇將 Session ID （或 Token ）保存到瀏覽器的 LocalStorage 中，讓前端在每次向后端發(fā)送請求時，主動將 LocalStorage 的數(shù)據(jù)傳遞給服務(wù)端。這些都是由前端來控制的，后端需要做的僅僅是在用戶登錄成功后，將 Session ID （或 Token ）放在響應(yīng)體中傳遞給前端。

在這樣的場景下，單點登錄完全可以在前端實現(xiàn)。前端拿到 Session ID （或 Token ）后，除了將它寫入自己的 LocalStorage 中之外，還可以通過特殊手段將它寫入多個其他域下的 LocalStorage 中。

————————————————

版權(quán)聲明：本文為CSDN博主「風水道人」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。

原文鏈接：

前端通過 iframe+postMessage() 方式，將同一份 Token 寫入到了多個域下的 LocalStorage 中，前端每次在向后端發(fā)送請求之前，都會主動從 LocalStorage 中讀取 Token 并在請求中攜帶，這樣就實現(xiàn)了同一份 Token 被多個域所共享。

總結(jié)：此種實現(xiàn)方式完全由前端控制，幾乎不需要后端參與，同樣支持跨域。

補充：域名分級

從專業(yè)的角度來說（根據(jù)《計算機網(wǎng)絡(luò)》中的定義），點抗 、點吸煙 為一級域名（也稱頂級域名），點抗 點吸煙 、baidu點抗 為二級域名，sina點抗 點吸煙 、tieba.baidu點抗 為三級域名，以此類推，N 級域名就是 N-1 級域名的直接子域名。

從使用者的角度來說，一般把可支持獨立備案的主域名稱作一級域名，如 baidu點抗 、sina點抗 點吸煙 皆可稱作一級域名，在主域名下建立的直接子域名稱作二級域名，如 tieba.baidu點抗 為二級域名。

單點登錄，java實現(xiàn)

可以直接通過玉符科技IDAAS平臺來實現(xiàn)單點登錄，支持所有的標準協(xié)議，如果是老舊或者自研的系統(tǒng)，也有SDK去適配所有的開發(fā)語言，不止是java。

玉符單點登錄

在java中如何實現(xiàn)單點登陸

單點登錄（Single Sign On），簡稱為?SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

package?DesktopSSO;

import?java.io.*;

import?java點虐 .*;

import?java.text.*;

import?java.util.*;

import?java.util.concurrent.*;

import?javax.servlet.*;

import?javax.servlet.http.*;

public?class?SSOAuth?extends?HttpServlet?{

static?private?ConcurrentMap?accounts;

static?private?ConcurrentMap?SSOIDs;

String?cookiename="WangYuDesktopSSOID";

String?domainname;

public?void?init(ServletConfig?config)?throws?ServletException?{

super.init(config);

domainname=?config.getInitParameter("domainname");

cookiename?=?config.getInitParameter("cookiename");

SSOIDs?=?new?ConcurrentHashMap();

accounts=new?ConcurrentHashMap();

accounts.put("wangyu",?"wangyu");

accounts.put("paul",?"paul");

accounts.put("carol",?"carol");

}

protected?void?processRequest(HttpServletRequest?request,?HttpServletResponse?response)?throws?ServletException,?IOException?{

PrintWriter?out?=?response.getWriter();

String?action?=?request.getParameter("action");

String?result="failed";

if?(action==null)?{

handlerFromLogin(request,response);

}?else?if?(action.equals("authcookie")){

String?myCookie?=?request.getParameter("cookiename");

if?(myCookie?!=?null)?result?=?authCookie(myCookie);

out.print(result);

out.close();

}?else?if?(action.equals("authuser"))?{

result=authNameAndPasswd(request,response);

out.print(result);

out.close();

}?else?if?(action.equals("logout"))?{

String?myCookie?=?request.getParameter("cookiename");

logout(myCookie);

out.close();

}

}

.....

}

關(guān)于javaWeb單點登錄

描述：在A系統(tǒng)登錄后，點擊A系統(tǒng)的某個模塊，登錄到B系統(tǒng)。

解決思路：在B系統(tǒng)的后臺代碼獲取B系統(tǒng)的用戶名和密碼，當點擊A系統(tǒng)的某個模塊時將用戶名和密碼通過url登錄到B系統(tǒng)。?描述：點擊A系統(tǒng)的退出按鈕，同時退出B系統(tǒng)；

解決思路： ?在A系統(tǒng)的帶有退出按鈕的jsp頁面，找到退出方法，將退出成功后執(zhí)行的方法改為退出B系統(tǒng)。?描述：找到B系統(tǒng)的登錄界面，通過js，執(zhí)行頁面加載完畢后執(zhí)行

解決方案：Window.onload=function 在執(zhí)行方法中執(zhí)行A系統(tǒng)的登錄接口，即可完成單點退出。

總結(jié)：A和B是兩個工程，那就讓A和B一個做客戶端，一個做服務(wù)端，服務(wù)端可以把服務(wù)發(fā)布出來，客戶端進行調(diào)用，就可以了啊，分布式開發(fā)。