一.单系统登记机制1、http无状态协议
web APP应用程序采用浏览器/服务器体系结构作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,该过程如下图所述。 三次请求/响应对之间没有任何联系。 (3358www.Sina.com/主要是因为http是无状态协议。 )
但这同时也意味着任何用户都可以通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求。要限制浏览器请求,必须验证浏览器请求并响应合法请求因为http协议是无状态的,所以让服务器和浏览器共同维持一个状态吧。 这就是对话的结构
解释:
浏览器首先请求服务器,服务器创建会话,然后将会话的id作为响应发送给浏览器。 浏览器保存会话id,并将会话id用于后续的第二次和第三次请求。 服务器获取请求中的会话id后,就会知道是否是同一用户。 这个过程在下图中说明。 后续请求与第一个请求相关联
(2、会话机制登录的用户将可在session中查询的已保存的isLogin属性设置为true )
服务器将会话对象保存在内存中,浏览器如何保存会话id? 也许可以考虑两种方法:
要求参数
通过饼干实现
将会话id作为各请求的参数,服务器接收请求时自然分析参数获取会话id,从而可以判断是否来自同一会话,显然这种方式不可靠。
那么,浏览器自己保持这个会话id吧。 每次发送http请求时,浏览器都会自动发送会话id。 cookie机制正好用来做这件事。 cookie是浏览器用于存储少量数据的机制,它以" key/value "格式存储数据,并在浏览器发送http请求时自动附加cookie信息
tomcat会话机制当然实现cookie(http://www.Sina.com/即客户端访问tomcat时,tomcat可以向客户端发送cookie ) )
解释:
如果有会话的结构,就很清楚登录状态。 假设浏览器首次需要在服务器上输入用户名和密码进行身份验证。 服务器获得用户名密码并与数据库进行核对。 如果正确,则表示当前拥有此会话的用户是合法用户。 既然解释:处于会话状态,当然将其保存在会话对象中。 tomcat将会话对象设置为登录状态
实现登录状态的浏览器请求服务器模型如下图所示
实现登录机制,因为每次请求受保护的资源时都会检查会话对象中的登录状态,并且只有isLogin=true的会话才能访问。
二、多系统复杂性web系统早就从旧的单一系统发展到现在多系统组成的APP部署群,面对这么多系统,用户会一个个登录,一个个注销吗? 如下图所示
web系统从单个系统发展为由多个系统组成的APP应用程序组,复杂性需要由系统内部而不是用户来承担。 web系统的内部无论多么复杂,对用户来说都是统一的整体,也就是说,用户访问web系统的整个APP应用程序组与访问单个系统一样,进行一次登录/注销就足够了
单系统登录解决方案很完美,但不再适用于多系统APP应用程序组。 为什么会这样呢?
单点登录解决方案的核心是cookie,它携带会话id以在浏览器和服务器之间保持会话状态。 但是,cookie有一个限制。 此限制是在cookie域(通常对应于站点域名)中(3、登录状态),当浏览器发送http请求时,它与该域匹配,而不是与所有cookie匹配这意味着该服务器生成的cookie不是coookie
为什么不同的域名可用于web APP应用组的所有子系统(一个web APP应用的功能可以被划分为多个模块)中的每个应该将这个会话标记为“已授权”或者“已登录”等等之类的状态所有模块的功能总和构成了整个web APP应用程序) (.baidu.com),难道不能统一到一个顶级域名下吗?
这种做法理论上是可以的,甚至早期很多多系统登录就采用这种同域名共享cookie的方式。(解释: 一个服务器产生的cookie只能在该服务器下使用,为了让浏览器访问各个子模块的时候都能够把共同的cookie带过去,那只有一种情况,那就是cookie的名字或者域名都是一个顶级域名,能够进行各个子模块的通配,从而各个子模块都可以接收这个cookie)下图是我对这段话的理解:
然而,可行并不代表好,共享cookie的方式存在众多局限。首先,应用群域名得统一;其次,应用群各系统使用的技术(至少是web服务器)要相同,不然cookie的key值(tomcat为JSESSIONID)不同(小疑问:就算web服务器相同,就一定能保证cookie的key值相同吗?还有不是说各个子模块的顶级域名已经相同了吗,为什么还有保证key值一样 啊?可能是说域名相同,只是能够确保能够让所有服务器都能够接收到这个cookie,但是接收到以后还要根据key值来取value值,所以key值最好是一样的,这样更方便些,而如果web服务器相同的话,那么key的值就相同(例如:tomcat为JSESSIONID)),无法维持会话,共享cookie的方式是无法实现跨语言技术平台登录的,比如java、php、.net系统之间;第三,cookie本身不安全。
因此,我们需要一种全新的登录方式来实现多系统应用群的登录,这就是单点登录
三、单点登录什么是单点登录?单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分
1、登录
相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌(tokens)实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理,用下图说明
解释: 浏览器首先访问系统1,系统1检测到用户没有登录。于是带上系统1的地址转发到sso认证中心,也发现没有登录,于是带上系统1的地址来到登录页面进行登录,登录完毕之后,sso认证中心就开始创建全局会话(
小疑问:是如何创建全局会话的?
答:sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话),创建授权令牌tokens,接着有了tokens令牌之后就可以跳转到系统1的地址了,这个时候系统1向sso认证中心校验令牌有效,sso认证中心把系统1的地址注册到sso认证中心上,然后返回给系统1,令牌有效,于是浏览器就可以访问系统1了。
再接着如果浏览器要访问系统2的话,在系统2上一验证,发现没有登录,这个时候就带着系统2的地址跳去sso认证中心,sso认证中心上验证已经登录,于是把令牌tokens发送给系统2,这个时候系统2再次带着系统2的地址和令牌来到sso认证中心验证时,令牌肯定是有效的,然后sso中心把系统2的地址注册到本地上,接着告诉系统2,令牌有效,于是浏览器就可以和系统2进行局部会话了
下面给出最详细的权威的解释:
2、注销
单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁,用下面的图来说明
单点登录涉及sso认证中心与众多子系统,子系统与sso认证中心需要通信以交换令牌、校验令牌及发起注销请求,因而子系统必须集成sso的客户端,sso认证中心则是sso服务端,整个单点登录过程实质是sso客户端与服务端通信的过程,用下图描述
小疑问: 如果不加网络防火墙会怎么样? 防火墙怎么配置呢?有配置文件吗?还是只需要dos命令就行
sso认证中心与sso客户端通信方式有多种,这里以简单好用的httpClient为例,web service、rpc、restful api都可以
只是简要介绍下基于java的实现过程,不提供完整源码,明白了原理,我相信你们可以自己实现。sso采用客户端/服务端架构,我们先看sso-client与sso-server要实现的功能(下面:sso认证中心=sso-server)
1、sso-client拦截未登录请求
java拦截请求的方式有servlet、filter、listener三种方式,我们采用filter。在sso-client中新建LoginFilter.java类并实现Filter接口,在doFilter()方法中加入对未登录用户的拦截
2、sso-server拦截未登录请求
拦截从sso-client跳转至sso认证中心的未登录请求,跳转至登录页面,这个过程与sso-client完全一样
3、sso-server验证用户登录信息
用户在登录页面输入用户名密码,请求登录,sso认证中心校验用户信息,校验成功,将会话状态标记为“已登录”
4、sso-server创建授权令牌
授权令牌是一串随机字符,以什么样的方式生成都没有关系,只要不重复、不易伪造即可,下面是一个例子
5、sso-client取得令牌并校验
sso认证中心登录后,跳转回子系统并附上令牌,子系统(sso-client)取得令牌,然后去sso认证中心校验,在LoginFilter.java的doFilter()中添加几行
小疑问: httpclient的参数是这样吗?不解,httpPost括号里面的参数
6、sso-server接收并处理校验令牌请求
用户在sso认证中心登录成功后,sso-server创建授权令牌并存储该令牌,所以,sso-server对令牌的校验就是去查找这个令牌是否存在以及是否过期,令牌校验成功后,sso-server将发送校验请求的系统注册到sso认证中心(就是存储起来的意思)
令牌与注册系统地址通常存储在key-value数据库(如redis)中,redis可以为key设置有效时间也就是令牌的有效期。redis运行在内存中,速度非常快,正好sso-server不需要持久化任何数据。
令牌与注册系统地址可以用下图描述的结构存储在redis中,可能你会问,为什么要存储这些系统的地址?如果不存储,注销的时候就麻烦了,用户向sso认证中心提交注销请求,sso认证中心注销全局会话,但不知道哪些系统用此全局会话建立了自己的局部会话,也不知道要向哪些子系统发送注销请求注销局部会话
小疑问: 下面这幅图看不明白???
7、sso-client校验令牌成功创建局部会话
令牌校验成功后,sso-client将当前局部会话标记为“已登录”,修改LoginFilter.java,添加几行(解释: 因为浏览器可能会访问多个子模块,从而产生多个局部会话,相当于浏览器与每个子模块服务器之间都有一个session)
sso-client还需将当前会话id(sessionID)与令牌绑定(解释: 因为一旦注销,那么就可以根据sessionID来取出令牌,最后到sso认证中心上检测存在该令牌,然后销毁全局会话,从而销毁所有的令牌),表示这个会话的登录状态与令牌相关,此关系可以用java的hashmap保存,保存的数据用来处理sso认证中心发来的注销请求(解释:就是说一个点发起了注销请求之后,sso认证中心接收到了之后,从而销毁全局会话,然后取出所有web应用各个模块系统的注册令牌并销毁,然后通知各个模块,令牌失效,各局部session全部销毁,这样一来,用户就不能和各子模块再次交互通信了)
重点: 本质上只有一个全局session会话(就是浏览器与sso认证中心的会话),其他的都是局部session,一旦消除全局session,那么局部session也会被通知由于各自的令牌销毁从而导致本局部session也要销毁
8、注销过程
用户向子系统发送带有“logout”参数的请求(注销请求),sso-client拦截器拦截该请求,向sso认证中心发起注销请求
sso认证中心也用同样的方式识别出sso-client的请求是注销请求(带有“logout”参数),sso认证中心注销全局会话
解释: 全局session(浏览器跟sso认证中心之间的session)注销之后触发LogoutListener,在LogoutListener中还要销毁所有的各个web系统的子模块的令牌
sso认证中心有一个全局会话的监听器,一旦全局会话注销,将通知所有注册系统注销