最近写了一个项目,用了一下公司的单点登陆starter,感觉和我上个公司的单点登陆组件差不多,只不过一个是基于Spring Boot + Dubbo写的,一个是基于Spring Cloud写的。因为对Spring Cloud更熟悉一点把,索性就用Spring Cloud写了一个单点登陆的starter。当然还有很多可以完善的细节,后续会陆续迭代把,欢迎star
github地址:https://github.com/erlieStar/sso-spring-cloud-project
在企业的发展初期,系统不是很多,每个系统也比较独立,每个系统都有各自的登陆模块,各类工作人员每天只登陆自己负责的系统即可。
这个时候登陆的实现比较简单,基于cookie和session就能实现,不再详细介绍
随着企业的发展,系统越来越多,并且信息化程度也越来越高。各种系统之间的数据逐渐打通,工作流程形成闭环,这时系统逐渐微服务化。但是用户用着不爽了,每天工作得登录好几个系统,超级麻烦啊,能不能登陆一次就能在多个系统之间随意访问。为了应对这种场景,就得新建一个登陆服务
比如我访问财务系统,没有登陆,然后跳转到登陆系统,登陆成功后,随意访问财务系统,运营系统,工单系统。
这就是单点登陆的思想,在多个系统中,只需要登录一次,就可以访问其他相互信任的系统,那应该怎么实现呢?
既然是微服务,登陆系统不可能只能一个节点,如果还用cookie和session来实现,就会有问题。例如,登陆请求发到节点1,session存到节点1,第二次请求需要获取用户信息发到节点2,结果节点2找不到对应的session信息,让用户重新登陆。
既然用户信息放到session中,不能共享,那我们将用户信息放到第三方组件,如mysql,redis中
说一下基于mysql的实现
用户信息表定义如下
CREATE TABLE `user_info` (
`id` int(11) NOT NULL AUTO_INCREMENT COMMENT '自增主键,用户id',
`username` varchar(30) NOT NULL COMMENT '用户姓名',
`password` varchar(60) NOT NULL COMMENT '密码',
`token` varchar(60) DEFAULT NULL COMMENT 'token',
`token_expire` datetime DEFAULT NULL COMMENT 'token失效时间',
`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',
PRIMARY KEY (`id`) USING BTREE,
KEY `idx_token_tokenExpire` (`token`,`token_expire`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4 COMMENT='用户信息表';
当然还有一个需要注意的点,通常每个服务都有自己的域名,如财务系统的域名为financial.javashitang.com,运营系统的域名为operate.javashitang.com,登陆系统的域名为sso.javashitang.com。
如果用户登陆后,cookie的domain属性是sso.javashitang.com,由于cookie是不能跨域的,所以用户在访问financial.javashitang.com和operate.javashitang.com的时候不会带上这个cookie,所以该如何解决呢?
用户登陆后,cookie域设置为顶域,即.javashitang.com,这样所有的子系统都可以访问到顶域的cookie,访问sso.javashitang.com,financial.javashitang.com都会带上这个cookie
同域下的单点登录用了cookie的顶域特性,那么不同域呢?其实也不难搞,之前我们把token放到cookie中。现在登陆的时候直接通过接口返回,用户请求的时候将token放到header中,放到请求参数中也行,只不过可能会有安全问题。
我看网上有很多文章介绍用cas实现单点登录,没啥经验,有兴趣的可以参考相关资料
如果你对单点登录,Spring Cloud,Spring Boot Starter感兴趣的话,可以看一下我针对这篇文章写的demo,实现单点登录真的超级简单。
javashitang:
sso:
enable: true # 是否启用sso,加上@EnableSso注解,但是enable为false也不会启用
includePattern: # 要拦截的路径,多个用英文逗号分隔
excludePattern: # 要排除的路径,多个用英文逗号分隔
不能再简单了吧?
github地址:https://github.com/erlieStar/sso-spring-cloud-project