今天分享一个解决web开发中的SSO的一种方案。
1背景
技术:
java,redis,spring,spring mvc,jackson,httpclient,mybatis,mysql。
这里主要以后台服务的概念来实现,这要求前段会把很多效果都写好,后端只注重服务。
下面是一个图片的介绍哈。
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiI0NXYFhGd192UvwVe0lmdhJ3ZvwFM38CXlZHbvN3cpR2Lc1TPB10QGtWUCpEMJ9CXsxWam9CXwADNvwVZ6l2c052bm9CXUJDT1wkNhVzLcRnbvZ2Lcd3ZE9EcGNjW1ZkMkZXUYpVd1kmYr50MZV3YyI2cKJDT29GRjBjUIF2LcRHelR3LcJzLctmch1mclRXY39zN3YzN1AjM1EzNwQDM3EDMy8CX0Vmbu4GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.jpg)
2要点讲解
所有的返回数据格式为json格式
1sso是一个单独的服务,这里单独抽象出来,功能有登录,注册,sso。其他业务系统通过httpclient调用sso的服务。
2使用uuid作为cookie的保存,cookie的保存是要具有唯一性的,所以使用uuid是可以满足需求,如果是并发量超级大,请考虑其他方法(uuid基本可以满足)。
3redis保存用户信息,redis中的key为,redis_user_session_key_+token(uuid),value为json格式的用户信息。
4在业务系统的请求拦截器中,得到请求的来源页url,如果需要sso登录,那么把这个来源页放在sso登录页面,等sso登录成功之后,跳转到来源页url。
5如果调用sso获得用户信息的方法使用了jsonp,那么在sso系统获取用户信息的服务汇总,需要处理一下。这里可以使用MappingJacksonValue这个类来处理。
3核心代码:
业务系统的拦截器
//在Handler执行之前处理
//判断用户是否登录
//从cookie中取token
String token = CookieUtils.getCookieValue(request, "TT_TOKEN");
//根据token换取用户信息,调用sso系统的接口。
TbUser user = userService.getUserByToken(token);
//取不到用户信息
if (null == user) {
//跳转到登录页面,把用户请求的url作为参数传递给登录页面。
response.sendRedirect(userService.SSO_DOMAIN_BASE_USRL + userService.SSO_PAGE_LOGIN
+ "?redirect=" + request.getRequestURL());
//返回false
return false;
}
//取到用户信息,放行
//把用户信息放入Request
request.setAttribute("user", user);
//返回值决定handler是否执行。true:执行,false:不执行。
return true;
2sso登录处理
List<TbUser> list = userMapper.selectByExample(example);
//如果没有此用户名
if (null == list || list.size() == ) {
return JResult.build(, "用户名或密码错误");
}
TbUser user = list.get();
//比对密码
if (!DigestUtils.md5DigestAsHex(password.getBytes()).equals(user.getPassword())) {
return JResult.build(, "用户名或密码错误");
}
//生成token
String token = UUID.randomUUID().toString();
//保存用户之前,把用户对象中的密码清空。
user.setPassword(null);
//把用户信息写入redis
jedisClient.set(REDIS_USER_SESSION_KEY + ":" + token, JsonUtils.objectToJson(user));
//设置session的过期时间
jedisClient.expire(REDIS_USER_SESSION_KEY + ":" + token, SSO_SESSION_EXPIRE);
//添加写cookie的逻辑,cookie的有效期是关闭浏览器就失效。
CookieUtils.setCookie(request, response, "TT_TOKEN", token);
3sso得到用户信息
//根据token从redis中查询用户信息
String json = jedisClient.get(REDIS_USER_SESSION_KEY + “:” + token);
//判断是否为空
if (StringUtils.isBlank(json)) {
return JResult.build(400, “此session已经过期,请重新登录”);
}
//更新过期时间
jedisClient.expire(REDIS_USER_SESSION_KEY + “:” + token, SSO_SESSION_EXPIRE);
//返回用户信息
return JResult.ok(JsonUtils.jsonToPojo(json, TbUser.class));
源代码会在评论给出地址哈,之后