什么是单点登录
只需要登录一次就可以访问所有的子系统。
基于Session实现单点的登录
- Session的特性:
- 储存JSESSIONID在客户端
- 相同的域能够读取到数据
- 服务端保持Session会话
- 理论基础
通过子系统使用相同的域来实现:
- A、B、C三个系统
- A的域名为 a.bb.com
- B的域名为 b.bb.com
- C的域名为 c.bb.com
- 那么将Cookie的域设置为 bb.com 。在访问A、B、C任何一个系统的时候都会带Cookie过去
- 具体实现
- 由于时间原因而且这种按照理论基础来实现没有太大的障碍。提一点在登录的时候最好加上?form=xxxx 进行登录成功后的跳转。
基于jwt实现单点登录
什么是jwt:json 格式的数据,组成的web端,使用的令牌。
- jwt由三段 json格式 数据组成:header、payload、singnature
- header:标头,该 json字段 包含{typ:“JWT”,alg:“HS256”}。定义令牌类型和加密算法
- payload:负载,该 json字段 包含自定义到客户端的数据。
- singnature:签名,用于防止令牌被篡改。不是json字段。是标头和负载各自的base64编码后加上服务器端才知道的盐值,经过标头定义的加密算法加密出来的值构成
- 如何拼接
- Base64(标头).Base64(负载).签名
jwt如何实现登录验证
- 用户登录成功后,根据上面的三段拼接出jwt,返回给客户端存储。
- 用户访问需要授权的资源时,需要带上jwt。服务器进行下面的验证
- 通过 . 分割客户端传的jwt
- Base64解码(第一部分),获取标头部分。拿到加密算法
- 将第一部分+第二部分+服务器生成jwt时使用的盐值,根据上面获取到的加密算法得出singnature部分。和分割的第三部分对比。判断jwt是否有效
- 若有效,且使用了jwt框架或自己在负载加上了过期时间,则判断jwt是否过期
- 若没过期,就可以Base64解码(第二部分),获取用户相关登录数据(userid等等)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MiUKOZDG-1649424382892)(//upload-images.jianshu.io/upload_images/13429614-32d087153d841905.png?imageMogr2/auto-orient/strip|imageView2/2/w/580/format/webp)]
jwt的优缺点
- 缺点:
- 需要额外处理jwt超时
- 需要额外主动注销
- 每次请求都有解码操作
- 优点:
- 存储在客户端,服务器存储压力无
- 利于多系统分布式
- 可以自定义任意数据
如何实现单点登录
- 实现jwt机制
- 自己简单实现jwt。(实现MD5类型的举例,由于代码比较简单,所以不贴代码了)
- 准备header标头json字符串 {“typ”:“JWT”,“alg”:“HS256”}
- 准备好payload的自定义参数json字符串{“userId”:“001”}
- 准备好MD5算法的盐值 String SING=“123321”
- 生成JWT
String headerBase64=Base64.encodeBase64(准备好的标头字符串)
String payloadBase64=Base64.encodeBase64(准备好的payload字符串)
String singnature=MD5(headerBase64+payloadBase64+准备好MD5算法的盐值)
String jwt=headerBase64+"."+payloadBase64+"."singnature- 验证JWT
String jwtArray=jwt.split("."); //根据点.切割字符串
if(jwtArray[2].equals(MD5(jwtArray[0]+jwtArray[1]+准备好MD5算法的盐值))){
有效
}else{
无效
}
//TODO 额外的payload中自定义的参数的判断,比如有效时间判断- 将要超时主动续期和注销退出登录功能的额外实现(TODO)
- 使用开源框架实现jwt。(这里选择使用 Auth0 Java JWT 实现举例)
- 添加依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.2</version>
</dependency>
<!-- 以下两个依赖非必须,当生成token失败的时候根据报错如果是缺失这个才需要加 -->
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-core</artifactId>
</dependency>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
</dependency>- 生成jwt
// 生成 JWT Token
Algorithm algorithm = Algorithm.HMAC256(SING);
String token = JWT.create()
.withHeader(new HashMap<>()) //自定义额外标头参数 map类型
.withClaim("payloadData1", 1) //自定义额外负载参数 int类型
.withClaim("payloadData2", "2") //自定义额外负载参数 String类型
.withClaim("payloadData3", true) //自定义额外负载参数 Boolean类型
.withIssuer("Self") // 预定义payload字段:签发者的名称,没设置则不会出现在负载中。取的时候也会返回null
.withSubject("Test Auth0 JWT") // 预定义payload字段:jwt所面向的用户的值,没设置则不会出现在负载中。取的时候也会返回null
.withAudience("Audience X", "Audience Y", "Audience Z") // 预定义payload字段:该jwt由谁接收,没设置则不会出现在负载中。取的时候也会返回null
.withExpiresAt(DateUtil.getChangeDate(20, TimeUnit.MINUTES)) //jwt过期时间(某个时间点之后就失效了)
.withNotBefore(DateUtil.getChangeDate(0, null)) // 定义在什么时间之前的时间(时间倒着走是不会过期的),该jwt都是不可用的.
.withIssuedAt(DateUtil.getChangeDate(0, null)) //生成签名的时间
.withJWTId("jwt-id-1")
.sign(algorithm);ps:上面是MD5的方式,下面采用RSA的方式生成jwt(下面的验证过程是通用的)。
/**************************** 生成rsa公钥私钥 ****************************/
// 生成 RSA 密钥对生成器
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
// 初始化密钥长度
keyPairGenerator.initialize(2048);
// 生成 RSA 密钥对
KeyPair keyPair = keyPairGenerator.generateKeyPair();
/*********************** 使用公钥私钥生成Algorithm ***********************/
Algorithm algorithm = Algorithm.RSA256((RSAPublicKey) keyPair.getPublic(), (RSAPrivateKey) keyPair.getPrivate());
/*********************** 使用公钥私钥生成Algorithm ***********************/
//将上面的Algorithm algorithm 替换掉MD5示例里面的 Algorithm algorithm = Algorithm.HMAC256(SING); 就可以了- 验证jwt。(JWT.require(algorithm)里面的algorithm要传上面对应的加密算法出来的algorithm)
JWTVerifier jwtVerifier = JWT.require(algorithm).build();
try {
DecodedJWT decodedJWT = jwtVerifier.verify("FSDFSFDFS");
String header = decodedJWT.getHeader(); //获取标头 BASE64 部分
String payload = decodedJWT.getPayload(); //获取负载 BASE64 部分
String signature = decodedJWT.getSignature(); //获取jwt验证部分
if (token.equals(header + "." + payload + "." + signature)) { //验证是否有效
System.out.println("jwt有效");
}
decodedJWT.getAlgorithm(); //获取标头 alg 非BASE64 字段的值
decodedJWT.getType(); //获取标头 typ 非BASE64 字段的值
decodedJWT.getIssuer(); //
decodedJWT.getSubject(); //
decodedJWT.getAudience(); //
decodedJWT.getId(); //
decodedJWT.getClaim("payloadData1").asInt(); //获取 自定义额外负载参数 int类型
decodedJWT.getClaim("payloadData2").asString(); //获取 自定义额外负载参数 String类型
decodedJWT.getClaim("payloadData3").asBoolean(); //获取 自定义额外负载参数 Boolean类型
//decodedJWT.getHeaderClaim("").asInt(); //获取 自定义额外标头参数 map类型中的某个 int类型key的值
System.out.println(new String(Base64.decodeBase64(header)));
System.out.println(new String(Base64.decodeBase64(payload)));
return "success";
} catch (SignatureVerificationException e) {
e.printStackTrace();
return "无效签名";
} catch (TokenExpiredException e) {
e.printStackTrace();
return "token过期";
} catch (AlgorithmMismatchException e) {
e.printStackTrace();
return "token算法不一致";
} catch (Exception e) {
e.printStackTrace();
return "token无效";
}- 实现各个子系统直接的单点登录
- 如果子系统的盐值相同,就可以对同一个jwt进行相同的是否有效的判断。所以这个部分比较简单。每个子系统用相同的盐值实现上面第3不验证jwt即可。
- 主动注销和过期有效性的处理
- 用户主动退出登录,使得jwt失效
为了防止jwt在过期时间内一直有效,需要加上注销jwt的功能。
由于我想要的是那种服务器或者redis挂了,功能也能用的方式。
又会回到有状态的情况。暂时还没有想到好的解决办法(持久化、读数据库啥的就算了)。
//暂时用客户端清除jwt实现 。。。。。。。。- 如果jwt快要过期,则对jwt进行续期
为了防止jwt用着用着突然过期,需要加上续期功能
if( decodedJWT.getExpiresAt()-now<3分钟){
//生成新的jwt返回给客户端存储
}
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
