這篇文章主要為大家展示了“web開發(fā)中怎么設(shè)計(jì)一套單點(diǎn)登錄系統(tǒng)”����,內(nèi)容簡而易懂�,條理清晰�,希望能夠幫助大家解決疑惑���,下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“web開發(fā)中怎么設(shè)計(jì)一套單點(diǎn)登錄系統(tǒng)”這篇文章吧。
專注于為中小企業(yè)提供做網(wǎng)站�����、網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)殷都免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)��。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才����,有力地推動(dòng)了千余家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變����。
一、介紹
昨天介紹了API接口設(shè)計(jì)token鑒權(quán)方案��,其實(shí)token鑒權(quán)最佳的實(shí)踐場景就是在單點(diǎn)登錄系統(tǒng)上�。
在企業(yè)發(fā)展初期,使用的后臺管理系統(tǒng)還比較少�,一個(gè)或者兩個(gè)。
以電商系統(tǒng)為例����,在起步階段,可能只有一個(gè)商城下單系統(tǒng)和一個(gè)后端管理產(chǎn)品和庫存的系統(tǒng)�����。
隨著業(yè)務(wù)量越來越大����,此時(shí)的業(yè)務(wù)系統(tǒng)會(huì)越來越復(fù)雜,項(xiàng)目會(huì)劃分成多個(gè)組����,每個(gè)組負(fù)責(zé)各自的領(lǐng)域�����,例如:A組負(fù)責(zé)商城系統(tǒng)的開發(fā)����,B組負(fù)責(zé)支付系統(tǒng)的開發(fā)��,C組負(fù)責(zé)庫存系統(tǒng)的開發(fā)���,D組負(fù)責(zé)物流跟蹤系統(tǒng)的開發(fā)�,E組負(fù)責(zé)每日業(yè)績報(bào)表統(tǒng)計(jì)的開發(fā)...等等�����。
規(guī)模變大的同時(shí)���,人員也會(huì)逐漸的增多,以研發(fā)部來說�,大致的人員就有這么幾大類:研發(fā)人員、測試人員����、運(yùn)維人員���、產(chǎn)品經(jīng)理、技術(shù)支持等等�����。
他們會(huì)頻繁的登錄各自的后端業(yè)務(wù)系統(tǒng)����,然后進(jìn)行辦公。
此時(shí)�,我們可以設(shè)想一下,如果每個(gè)組都自己開發(fā)一套后端管理系統(tǒng)的登錄�,假如有10個(gè)這樣的系統(tǒng),同時(shí)一個(gè)新入職的同事需要每個(gè)系統(tǒng)都給他開放一個(gè)權(quán)限����,那么我們可能需要給他開通10個(gè)賬號。
隨著業(yè)務(wù)規(guī)模的擴(kuò)大�����,大點(diǎn)的公司���,可能高達(dá)一百多個(gè)業(yè)務(wù)系統(tǒng)�����,那豈不是要配置一百多個(gè)賬號��,讓人去做這種操作��,豈不傷天害理��。
面對這種繁瑣而且又無效的工作���,IT大佬們想到一個(gè)辦法�����,那就是開發(fā)一套登錄系統(tǒng)����,所有的業(yè)務(wù)系統(tǒng)都認(rèn)可這套登錄系統(tǒng)���,那么就可以實(shí)現(xiàn)只需要登錄一次,就可以訪問其他相互信任的應(yīng)用系統(tǒng)���。
這個(gè)登錄系統(tǒng)���,我們把它稱為:單點(diǎn)登錄系統(tǒng)����。
好了�����,言歸正傳��,下面我們從兩個(gè)方面來介紹單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)�。
方案設(shè)計(jì)
項(xiàng)目實(shí)踐
二、方案設(shè)計(jì)
2.1�����、單體后端系統(tǒng)登錄
在傳統(tǒng)的單體后端系統(tǒng)中��,簡單點(diǎn)的操作��,我們一般都會(huì)這么玩�����,用戶使用賬號�����、密碼登錄之后,服務(wù)器會(huì)給當(dāng)前用戶創(chuàng)建一個(gè)session會(huì)話�����,同時(shí)也會(huì)生成一個(gè)cookie�,最后返回給前端。
當(dāng)用戶訪問其他后端的服務(wù)時(shí)��,我們只需要檢查一下當(dāng)前用戶的session是否有效���,如果無效����,就再次跳轉(zhuǎn)到登錄頁面;如果有效�����,就進(jìn)入業(yè)務(wù)處理流程�����。
但是����,如果訪問不同的域名系統(tǒng)時(shí),這個(gè)cookie是無效的�����,因此不能跨系統(tǒng)訪問�,同時(shí)也不支持集群環(huán)境的共享。
對于單點(diǎn)登錄的場景��,我們需要重新設(shè)計(jì)一套新的方案�����。
2.2�、單點(diǎn)登錄系統(tǒng)登錄
先來一張圖!
.jpg)
這個(gè)流程圖,就是單點(diǎn)登錄系統(tǒng)與應(yīng)用系統(tǒng)之間的交互圖�。
當(dāng)用戶登錄某應(yīng)用系統(tǒng)時(shí),應(yīng)用系統(tǒng)會(huì)把將客戶端傳入的token��,調(diào)用單點(diǎn)登錄系統(tǒng)驗(yàn)證token合法性接口�����,如果不合法就會(huì)跳轉(zhuǎn)到單點(diǎn)登錄系統(tǒng)的登錄頁面;如果合法,就直接進(jìn)入首頁���。
進(jìn)入登錄頁面之后�����,會(huì)讓用戶輸入用戶名�����、密碼進(jìn)行登錄驗(yàn)證��,如果驗(yàn)證成功之后���,會(huì)返回一個(gè)有效的token,然后客戶端會(huì)根據(jù)服務(wù)端返回的參數(shù)鏈接��,跳轉(zhuǎn)回之前要訪問的應(yīng)用系統(tǒng)��。
接著���,應(yīng)用系統(tǒng)會(huì)再次驗(yàn)證token的合法性���,如果合法����,就進(jìn)入首頁����,流程結(jié)束��。
引入單點(diǎn)登錄系統(tǒng)后�����,接入的應(yīng)用系統(tǒng)不需要關(guān)系用戶登錄這塊����,只需要對客戶端的token做一下合法性鑒權(quán)操作就可以了。
而單點(diǎn)登錄系統(tǒng)����,只需要做好用戶的登錄流程和鑒權(quán)并返回安全的token給客戶端。
有的項(xiàng)目���,會(huì)將生成的token����,存放在客戶端的cookie中,這樣做的目的���,就是避免每次調(diào)用接口的時(shí)候都在url里面帶上token���。
但是,瀏覽器只允許同域名下的cookies可以共享�����,對于不同的域名系統(tǒng)�, cookie 是無法共享的。
對于這種情況����,我們可以先將 token 放入到url鏈接中,類似上面流程圖中跳轉(zhuǎn)思路�,對于同一個(gè)應(yīng)用系統(tǒng),我們可以將token放入到 cookie 中�,不同的應(yīng)用系統(tǒng),我們可以通過 url 鏈接進(jìn)行傳遞�,實(shí)現(xiàn)token的傳輸。
三��、項(xiàng)目實(shí)踐
在實(shí)踐上����,token的存儲�,有兩種方案:
3.1、存放在redis
存放在redis中�����,是一種比較常見的處理辦法�����,最開始的時(shí)候也是這種處理辦法�。
當(dāng)用戶登錄成功之后���,會(huì)將用戶的信息作為value,用uuid作為key���,存儲到redis中�,各個(gè)服務(wù)集群共享用戶信息���。
代碼實(shí)踐也非常簡單�。
用戶登錄之后����,將用戶信息存在到redis,同時(shí)返回一個(gè)有效的token給客戶端�。
@RequestMapping(value = "/login", method = RequestMethod.POST, produces = {"application/json;charset=UTF-8"}) public TokenVO login(@RequestBody LoginDTO loginDTO){ //...參數(shù)合法性驗(yàn)證 //從數(shù)據(jù)庫獲取用戶信息 User dbUser = userService.selectByUserNo(loginDTO.getUserNo); //....用戶、密碼驗(yàn)證 //創(chuàng)建token String token = UUID.randomUUID(); //將token和用戶信息存儲到redis,并設(shè)置有效期2個(gè)小時(shí) redisUtil.save(token, dbUser, 2*60*60); //定義返回結(jié)果 TokenVO result = new TokenVO(); //封裝token result.setToken(token); //封裝應(yīng)用系統(tǒng)訪問地址 result.setRedirectURL(loginDTO.getRedirectURL()); return result; }客戶端收到登錄成功之后����,根據(jù)參數(shù)組合進(jìn)行跳轉(zhuǎn)到對應(yīng)的應(yīng)用系統(tǒng)。
跳轉(zhuǎn)示例如下:http://xxx.com/page.html?token=xxxxxx
各個(gè)應(yīng)用系統(tǒng)�,只需要編寫一個(gè)過濾器TokenFilter對token參數(shù)進(jìn)行驗(yàn)證攔截,即可實(shí)現(xiàn)對接��,代碼如下:
@Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws ServletException, IOException, SecurityException { HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; String requestUri = request.getRequestURI(); String contextPath = request.getContextPath(); String serviceName = request.getServerName(); //添加到白名單的URL放行 String[] excludeUrls = { "(?:/images/|/css/|/js/|/template/|/static/|/web/|/constant/).+$", "/user/login", "/user/createImage" }; for (String url : excludeUrls) { if (requestUri.matches(contextPath + url) || (serviceName.matches(url))) { filterChain.doFilter(request, response); return; } } //運(yùn)行跨域探測 if(RequestMethod.OPTIONS.name().equals(request.getMethod())){ filterChain.doFilter(request, response); return; } //檢查token是否有效 final String token = request.getHeader("token"); if(StringUtils.isEmpty(token) || !redisUtil.exist(token)){ ResultMsg上面返回的是json數(shù)據(jù)給前端����,當(dāng)然你還可以直接在服務(wù)器采用重定向進(jìn)行跳轉(zhuǎn),具體根據(jù)自己的情況進(jìn)行選擇�����。
由于每個(gè)應(yīng)用系統(tǒng)都可能需要進(jìn)行對接�����,因此我們可以將上面的方法封裝成一個(gè)公共jar包����,應(yīng)用系統(tǒng)只需要依賴包即可完成對接!
3.2����、token存放客戶端
還有一種方案,是將token存放客戶端�,這種方案就是服務(wù)端根據(jù)規(guī)則對數(shù)據(jù)進(jìn)行加密生成一個(gè)簽名串,這個(gè)簽名串就是我們所說的token��,最后返回給前端。
因?yàn)榧用艿牟僮鞫际窃诜?wù)端完成的�,因此密鑰的管理非常重要,不能泄露出去����,不然很容易被黑客解密出來。
最典型的應(yīng)用就是JWT!
JWT 是由三段信息構(gòu)成的����,將這三段信息文本用.鏈接一起就構(gòu)成了JWT字符串。就像這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
如何實(shí)現(xiàn)呢?首先我們需要添加一個(gè)jwt依賴包�。
com.auth0 java-jwt 3.4.0
然后,創(chuàng)建一個(gè)用戶信息類����,將會(huì)通過加密存放在token中。
@Data @EqualsAndHashCode(callSuper = false) @Accessors(chain = true) public class UserToken implements Serializable { private static final long serialVersionUID = 1L; /** * 用戶ID */ private String userId; /** * 用戶登錄賬戶 */ private String userNo; /** * 用戶中文名 */ private String userName; }接著����,創(chuàng)建一個(gè)JwtTokenUtil工具類,用于創(chuàng)建token�����、驗(yàn)證token�。
public class JwtTokenUtil { //定義token返回頭部 public static final String AUTH_HEADER_KEY = "Authorization"; //token前綴 public static final String TOKEN_PREFIX = "Bearer "; //簽名密鑰 public static final String KEY = "q3t6w9z$C&F)J@NcQfTjWnZr4u7x"; //有效期默認(rèn)為 2hour public static final Long EXPIRATION_TIME = 1000L*60*60*2; /** * 創(chuàng)建TOKEN * @param content * @return */ public static String createToken(String content){ return TOKEN_PREFIX + JWT.create() .withSubject(content) .withExpiresAt(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .sign(Algorithm.HMAC512(KEY)); } /** * 驗(yàn)證token * @param token */ public static String verifyToken(String token) throws Exception { try { return JWT.require(Algorithm.HMAC512(KEY)) .build() .verify(token.replace(TOKEN_PREFIX, "")) .getSubject(); } catch (TokenExpiredException e){ throw new Exception("token已失效�����,請重新登錄",e); } catch (JWTVerificationException e) { throw new Exception("token驗(yàn)證失?�?��!",e); } } }同時(shí)編寫配置類,允許跨域��,并且創(chuàng)建一個(gè)權(quán)限攔截器��。
@Slf4j @Configuration public class GlobalWebMvcConfig implements WebMvcConfigurer { /** * 重寫父類提供的跨域請求處理的接口 * @param registry */ @Override public void addCorsMappings(CorsRegistry registry) { // 添加映射路徑 registry.addMapping("/**") // 放行哪些原始域 .allowedOrigins("*") // 是否發(fā)送Cookie信息 .allowCredentials(true) // 放行哪些原始域(請求方式) .allowedMethods("GET", "POST", "DELETE", "PUT", "OPTIONS", "HEAD") // 放行哪些原始域(頭部信息) .allowedHeaders("*") // 暴露哪些頭部信息(因?yàn)榭缬蛟L問默認(rèn)不能獲取全部頭部信息) .exposedHeaders("Server","Content-Length", "Authorization", "Access-Token", "Access-Control-Allow-Origin","Access-Control-Allow-Credentials"); } /** * 添加攔截器 * @param registry */ @Override public void addInterceptors(InterceptorRegistry registry) { //添加權(quán)限攔截器 registry.addInterceptor(new AuthenticationInterceptor()).addPathPatterns("/**").excludePathPatterns("/static/**"); } }使用AuthenticationInterceptor攔截器對接口參數(shù)進(jìn)行驗(yàn)證���。
@Slf4j public class AuthenticationInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 從http請求頭中取出token final String token = request.getHeader(JwtTokenUtil.AUTH_HEADER_KEY); //如果不是映射到方法����,直接通過 if(!(handler instanceof HandlerMethod)){ return true; } //如果是方法探測�����,直接通過 if (HttpMethod.OPTIONS.equals(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); return true; } //如果方法有JwtIgnore注解����,直接通過 HandlerMethod handlerMethod = (HandlerMethod) handler; Method method=handlerMethod.getMethod(); if (method.isAnnotationPresent(JwtIgnore.class)) { JwtIgnore jwtIgnore = method.getAnnotation(JwtIgnore.class); if(jwtIgnore.value()){ return true; } } LocalAssert.isStringEmpty(token, "token為空,鑒權(quán)失?。?); //驗(yàn)證�����,并獲取token內(nèi)部信息 String userToken = JwtTokenUtil.verifyToken(token); //將token放入本地緩存 WebContextUtil.setUserToken(userToken); return true; } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { //方法結(jié)束后���,移除緩存的token WebContextUtil.removeUserToken(); } }最后���,在controller層用戶登錄之后,創(chuàng)建一個(gè)token����,存放在頭部即可。
/** * 登錄 * @param userDto * @return */ @JwtIgnore @RequestMapping(value = "/login", method = RequestMethod.POST, produces = {"application/json;charset=UTF-8"}) public UserVo login(@RequestBody UserDto userDto, HttpServletResponse response){ //...參數(shù)合法性驗(yàn)證 //從數(shù)據(jù)庫獲取用戶信息 User dbUser = userService.selectByUserNo(userDto.getUserNo); //....用戶���、密碼驗(yàn)證 //創(chuàng)建token����,并將token放在響應(yīng)頭 UserToken userToken = new UserToken(); BeanUtils.copyProperties(dbUser,userToken); String token = JwtTokenUtil.createToken(JSONObject.toJSONString(userToken)); response.setHeader(JwtTokenUtil.AUTH_HEADER_KEY, token); //定義返回結(jié)果 UserVo result = new UserVo(); BeanUtils.copyProperties(dbUser,result); return result; }到這里基本就完成了!
其中AuthenticationInterceptor中用到的JwtIgnore是一個(gè)注解����,用于不需要驗(yàn)證token的方法上�,例如驗(yàn)證碼的獲取等等���。
@Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface JwtIgnore { boolean value() default true; }而WebContextUtil是一個(gè)線程緩存工具類�,其他接口通過這個(gè)方法即可從token中獲取用戶信息���。
public class WebContextUtil { //本地線程緩存token private static ThreadLocal local = new ThreadLocal<>(); /** * 設(shè)置token信息 * @param content */ public static void setUserToken(String content){ removeUserToken(); local.set(content); } /** * 獲取token信息 * @return */ public static UserToken getUserToken(){ if(local.get() != null){ UserToken userToken = JSONObject.parseObject(local.get() , UserToken.class); return userToken; } return null; } /** * 移除token信息 * @return */ public static void removeUserToken(){ if(local.get() != null){ local.remove(); } } }對應(yīng)用系統(tǒng)而言��,重點(diǎn)在于token的驗(yàn)證�,可以將攔截器方法封裝成一個(gè)公共的jar包�����,然后各個(gè)應(yīng)用系統(tǒng)引用即可!
和上面介紹的token存儲到redis方案類似�,不同點(diǎn)在于:一個(gè)將用戶數(shù)據(jù)存儲到redis,另一個(gè)是采用加密算法存儲到客戶端進(jìn)行傳輸���。
以上是“web開發(fā)中怎么設(shè)計(jì)一套單點(diǎn)登錄系統(tǒng)”這篇文章的所有內(nèi)容����,感謝各位的閱讀���!相信大家都有了一定的了解�,希望分享的內(nèi)容對大家有所幫助���,如果還想學(xué)習(xí)更多知識��,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道����!
本文名稱:web開發(fā)中怎么設(shè)計(jì)一套單點(diǎn)登錄系統(tǒng)
網(wǎng)址分享:
http://weahome.cn/article/jsgdhh.html
重慶分公司
重慶分公司
