一、準(zhǔn)備

　　1、了解http請求及特點(diǎn)

　　2、了解cookie和session

　　3、了解用戶登錄和注銷流程

二、單機(jī)用戶登錄流程

總體流程圖實(shí)現(xiàn)：

1、http無狀態(tài)協(xié)議

web應(yīng)用采用browser/server架構(gòu)，http作為通信協(xié)議。http是無狀態(tài)協(xié)議，瀏覽器的每一次請求，服務(wù)器會獨(dú)立處理，不與之前或之后的請求產(chǎn)生關(guān)聯(lián)，這個過程用下圖說明，三次請求/響應(yīng)對之間沒有任何聯(lián)系

但這也同時意味著，任何用戶都能通過瀏覽器訪問服務(wù)器資源，如果想保護(hù)服務(wù)器的某些資源，必須限制瀏覽器請求；要限制瀏覽器請求，必須鑒別瀏覽器請求，響應(yīng)合法請求，忽略非法請求；要鑒別瀏覽器請求，必須清楚瀏覽器請求狀態(tài)。既然http協(xié)議無狀態(tài)，那就讓服務(wù)器和瀏覽器共同維護(hù)一個狀態(tài)吧！這就是會話機(jī)制

2、會話機(jī)制

瀏覽器第一次請求服務(wù)器，服務(wù)器創(chuàng)建一個會話，并將會話的id作為響應(yīng)的一部分發(fā)送給瀏覽器，瀏覽器存儲會話id，并在后續(xù)第二次和第三次請求中帶上會話id，服務(wù)器取得請求中的會話id就知道是不是同一個用戶了，這個過程用下圖說明，后續(xù)請求與第一次請求產(chǎn)生了關(guān)聯(lián)

服務(wù)器在內(nèi)存中保存會話對象，瀏覽器怎么保存會話id呢？你可能會想到兩種方式

請求參數(shù)

cookie

將會話id作為每一個請求的參數(shù)，服務(wù)器接收請求自然能解析參數(shù)獲得會話id，并借此判斷是否來自同一會話，很明顯，這種方式不靠譜。那就瀏覽器自己來維護(hù)這個會話id吧，每次發(fā)送http請求時瀏覽器自動發(fā)送會話id，cookie機(jī)制正好用來做這件事。cookie是瀏覽器用來存儲少量數(shù)據(jù)的一種機(jī)制，數(shù)據(jù)以”key/value“形式存儲，瀏覽器發(fā)送http請求時自動附帶cookie信息

tomcat會話機(jī)制當(dāng)然也實(shí)現(xiàn)了cookie，訪問tomcat服務(wù)器時，瀏覽器中可以看到一個名為“JSESSIONID”的cookie，這就是tomcat會話機(jī)制維護(hù)的會話id，使用了cookie的請求響應(yīng)過程如下圖

3、登錄狀態(tài)

有了會話機(jī)制，登錄狀態(tài)就好明白了，我們假設(shè)瀏覽器第一次請求服務(wù)器需要輸入用戶名與密碼驗(yàn)證身份，服務(wù)器拿到用戶名密碼去數(shù)據(jù)庫比對，正確的話說明當(dāng)前持有這個會話的用戶是合法用戶，應(yīng)該將這個會話標(biāo)記為“已授權(quán)”或者“已登錄”等等之類的狀態(tài)，既然是會話的狀態(tài)，自然要保存在會話對象中，tomcat在會話對象中設(shè)置登錄狀態(tài)如下：

HttpSession session = request.getSession();

session.setAttribute("isLogin", true);

用戶再次訪問時，tomcat在會話對象中查看登錄狀態(tài)：

HttpSession session = request.getSession();

session.getAttribute("isLogin");

三、 集群系統(tǒng)sso登錄

什么是單點(diǎn)登錄？單點(diǎn)登錄全稱Single Sign On（以下簡稱SSO），是指在多系統(tǒng)應(yīng)用群中登錄一個系統(tǒng)，便可在其他所有系統(tǒng)中得到授權(quán)而無需再次登錄，包括單點(diǎn)登錄與單點(diǎn)注銷兩部分

1、登錄

相比于單系統(tǒng)登錄，sso需要一個獨(dú)立的認(rèn)證中心，只有認(rèn)證中心能接受用戶的用戶名密碼等安全信息，其他系統(tǒng)不提供登錄入口，只接受認(rèn)證中心的間接授權(quán)。間接授權(quán)通過令牌實(shí)現(xiàn)，sso認(rèn)證中心驗(yàn)證用戶的用戶名密碼沒問題，創(chuàng)建授權(quán)令牌，在接下來的跳轉(zhuǎn)過程中，授權(quán)令牌作為參數(shù)發(fā)送給各個子系統(tǒng)，子系統(tǒng)拿到令牌，即得到了授權(quán)，可以借此創(chuàng)建局部會話，局部會話登錄方式與單系統(tǒng)的登錄方式相同。這個過程，也就是單點(diǎn)登錄的原理，用下圖說明

下面對上圖簡要描述

用戶訪問系統(tǒng)1的受保護(hù)資源，系統(tǒng)1發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至sso認(rèn)證中心，并將自己的地址作為參數(shù)

sso認(rèn)證中心發(fā)現(xiàn)用戶未登錄，將用戶引導(dǎo)至登錄頁面

用戶輸入用戶名密碼提交登錄申請

sso認(rèn)證中心校驗(yàn)用戶信息，創(chuàng)建用戶與sso認(rèn)證中心之間的會話，稱為全局會話，同時創(chuàng)建授權(quán)令牌

sso認(rèn)證中心帶著令牌跳轉(zhuǎn)會最初的請求地址（系統(tǒng)1）

系統(tǒng)1拿到令牌，去sso認(rèn)證中心校驗(yàn)令牌是否有效

sso認(rèn)證中心校驗(yàn)令牌，返回有效，注冊系統(tǒng)1

系統(tǒng)1使用該令牌創(chuàng)建與用戶的會話，稱為局部會話，返回受保護(hù)資源

用戶訪問系統(tǒng)2的受保護(hù)資源

系統(tǒng)2發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至sso認(rèn)證中心，并將自己的地址作為參數(shù)

sso認(rèn)證中心發(fā)現(xiàn)用戶已登錄，跳轉(zhuǎn)回系統(tǒng)2的地址，并附上令牌

系統(tǒng)2拿到令牌，去sso認(rèn)證中心校驗(yàn)令牌是否有效

sso認(rèn)證中心校驗(yàn)令牌，返回有效，注冊系統(tǒng)2

系統(tǒng)2使用該令牌創(chuàng)建與用戶的局部會話，返回受保護(hù)資源

用戶登錄成功之后，會與sso認(rèn)證中心及各個子系統(tǒng)建立會話，用戶與sso認(rèn)證中心建立的會話稱為全局會話，用戶與各個子系統(tǒng)建立的會話稱為局部會話，局部會話建立之后，用戶訪問子系統(tǒng)受保護(hù)資源將不再通過sso認(rèn)證中心，全局會話與局部會話有如下約束關(guān)系

局部會話存在，全局會話一定存在

全局會話存在，局部會話不一定存在

全局會話銷毀，局部會話必須銷毀

你可以通過博客園、百度、csdn、淘寶等網(wǎng)站的登錄過程加深對單點(diǎn)登錄的理解，注意觀察登錄過程中的跳轉(zhuǎn)url與參數(shù)

2、注銷

單點(diǎn)登錄自然也要單點(diǎn)注銷，在一個子系統(tǒng)中注銷，所有子系統(tǒng)的會話都將被銷毀，用下面的圖來說明

3、sso 認(rèn)證

so認(rèn)證中心一直監(jiān)聽全局會話的狀態(tài)，一旦全局會話銷毀，監(jiān)聽器將通知所有注冊系統(tǒng)執(zhí)行注銷操作

下面對上圖簡要說明

用戶向系統(tǒng)1發(fā)起注銷請求

系統(tǒng)1根據(jù)用戶與系統(tǒng)1建立的會話id拿到令牌，向sso認(rèn)證中心發(fā)起注銷請求

sso認(rèn)證中心校驗(yàn)令牌有效，銷毀全局會話，同時取出所有用此令牌注冊的系統(tǒng)地址

sso認(rèn)證中心向所有注冊系統(tǒng)發(fā)起注銷請求

各注冊系統(tǒng)接收sso認(rèn)證中心的注銷請求，銷毀局部會話

sso認(rèn)證中心引導(dǎo)用戶至登錄頁面

四、部署圖

單點(diǎn)登錄涉及sso認(rèn)證中心與眾子系統(tǒng)，子系統(tǒng)與sso認(rèn)證中心需要通信以交換令牌、校驗(yàn)令牌及發(fā)起注銷請求，因而子系統(tǒng)必須集成sso的客戶端，sso認(rèn)證中心則是sso服務(wù)端，整個單點(diǎn)登錄過程實(shí)質(zhì)是sso客戶端與服務(wù)端通信的過程，用下圖描述：

sso認(rèn)證中心與sso客戶端通信方式有多種，這里以簡單好用的httpClient為例，web service、rpc、restful api都行

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論