oauth2.0实现sso单点登录的方式和相关代码

oauth2.0实现sso单点登录的方式和相关代码

SSO介绍

什么是SSO

百科：SSO英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。

简单来说，SSO出现的目的在于解决同一产品体系中，多应用共享用户session的需求。SSO通过将用户登录信息映射到浏览器cookie中，解决其它应用免登获取用户session的问题。

为什么需要SSO

开放平台业务本身不需要SSO，但是如果平台的普通用户也可以在申请后成为一个应用开发者，那么就需要将平台加入到公司的整体账号体系中去，另外，对于企业级场景来说，一般都会有SSO系统，充当统一的账号校验入口。

CAS协议中概念介绍

SSO单点登录只是一个方案，而目前市面上最流行的单端登录系统是由耶鲁大学开发的CAS系统，而由其实现的CAS协议，也成为目前SSO协议中的既定协议，下文中的单点登录协议及结构，均为CAS中的体现结构 CAS协议中有以下几个概念： 1.CAS Client：需要集成单点登录的应用，称为单点登录客户端 2.CAS Server：单点登录服务器，用户登录鉴权、凭证下发及校验等操作 3.TGT：ticker granting ticket，用户凭证票据，用以标记用户凭证，用户在单点登录系统中登录一次后，再其有效期内，TGT即代表用户凭证，用户在其它client中无需再进行二次登录操作，即可共享单点登录系统中的已登录用户信息 4.ST：service ticket，服务票据，服务可以理解为客户端应用的一个业务模块，体现为客户端回调url，CAS用以进行服务权限校验，即CAS可以对接入的客户端进行管控 5.TGC：ticket granting cookie，存储用户票据的cookie，即用户登录凭证最终映射的cookies

CAS核心协议介绍

image.png

1.用户在浏览器中访问应用 2.应用发现需要索要用户信息，跳转至SSO服务器 3.SSO服务器向用户展示登录界面，用户进行登录操作，SSO服务器进行用户校验后，映射出TGC 4.SSO服务器向回调应用服务url，返回ST 5.应用去SSO服务器校验ST权限及合法性 6.SSO服务器校验成功后，返回用户信息

CAS基本流程介绍

以下为基本的CAS协议流程，图一为初次登录时的流程，图二为已进行过一次登录后的流程

image.png

image.png

以上是oauth的单点登录的流程,下面我们来看下应该如何配置单点登录:

继承了WebSecurityConfigurerAdapter的类上加@EnableOAuth2Sso注解来表示支持单点登录:

另外还需要在应用中添加如下的两个类:

SsoApprovalEndpoint:

SsoSpelView:

分析:SsoApprovalEndpoint这个类的来源于WhitelabelApprovalEndpoint这个类,主要用于单点登录是否授权进入用的,默认会有有个白色的授权页面出现让客户选择是否授权登录,看下源码:

TEMPLATE这里面的网页代码字符串就是相关的授权页面,显示是否授权或者拒绝授权的页面,当我们选择授权后我们会跳转到另一个服务器的页面.

如果我们不想让它显示出来授权页面(因为这样会影响用户体验),我们可以在原始的文档中写<scripts>代码让它自动提交,如下所示:

我们用<div style='display:none;'>来表示这个页面是空白的,然后我们加上<script>的编写来自动提交,形成一个空白页面一闪而过的效果(不需要再手动点击授权)

遇到的坑总结:

时常配置好后报出如下错误:

这个是security找不到使用哪个类报错的问题,这里是资源类不明,所以我们在资源的相关配置上加上@Primary注解来解决: