SSO的一种方案

Posted 2022-11-25 猫二哥

今天分享一个解决web开发中的SSO的一种方案。

1背景
技术：
java,redis,spring,spring mvc,jackson,httpclient，mybatis,mysql。
这里主要以后台服务的概念来实现，这要求前段会把很多效果都写好，后端只注重服务。

下面是一个图片的介绍哈。

2要点讲解
所有的返回数据格式为json格式
1sso是一个单独的服务，这里单独抽象出来，功能有登录，注册，sso。其他业务系统通过httpclient调用sso的服务。

2使用uuid作为cookie的保存，cookie的保存是要具有唯一性的，所以使用uuid是可以满足需求，如果是并发量超级大，请考虑其他方法（uuid基本可以满足）。

3redis保存用户信息，redis中的key为，redis_user_session_key_+token(uuid)，value为json格式的用户信息。

4在业务系统的请求拦截器中，得到请求的来源页url，如果需要sso登录，那么把这个来源页放在sso登录页面，等sso登录成功之后，跳转到来源页url。

5如果调用sso获得用户信息的方法使用了jsonp，那么在sso系统获取用户信息的服务汇总，需要处理一下。这里可以使用MappingJacksonValue这个类来处理。

3核心代码：
业务系统的拦截器

//在Handler执行之前处理
        //判断用户是否登录
        //从cookie中取token
        String token = CookieUtils.getCookieValue(request, "TT_TOKEN");
        //根据token换取用户信息，调用sso系统的接口。
        TbUser user = userService.getUserByToken(token);
        //取不到用户信息
        if (null == user) 
            //跳转到登录页面，把用户请求的url作为参数传递给登录页面。
            response.sendRedirect(userService.SSO_DOMAIN_BASE_USRL + userService.SSO_PAGE_LOGIN 
                    + "?redirect=" + request.getRequestURL());
            //返回false
            return false;
        
        //取到用户信息，放行
        //把用户信息放入Request
        request.setAttribute("user", user);
        //返回值决定handler是否执行。true：执行，false：不执行。
        return true;

2sso登录处理

List<TbUser> list = userMapper.selectByExample(example);
        //如果没有此用户名
        if (null == list || list.size() == 0) 
            return JResult.build(400, "用户名或密码错误");
        
        TbUser user = list.get(0);
        //比对密码
        if (!DigestUtils.md5DigestAsHex(password.getBytes()).equals(user.getPassword())) 
            return JResult.build(400, "用户名或密码错误");
        
        //生成token
        String token = UUID.randomUUID().toString();
        //保存用户之前，把用户对象中的密码清空。
        user.setPassword(null);
        //把用户信息写入redis
        jedisClient.set(REDIS_USER_SESSION_KEY + ":" + token, JsonUtils.objectToJson(user));
        //设置session的过期时间
        jedisClient.expire(REDIS_USER_SESSION_KEY + ":" + token, SSO_SESSION_EXPIRE);

        //添加写cookie的逻辑，cookie的有效期是关闭浏览器就失效。
        CookieUtils.setCookie(request, response, "TT_TOKEN", token);

3sso得到用户信息
//根据token从redis中查询用户信息
String json = jedisClient.get(REDIS_USER_SESSION_KEY + “:” + token);
//判断是否为空
if (StringUtils.isBlank(json))
return JResult.build(400, “此session已经过期，请重新登录”);

//更新过期时间
jedisClient.expire(REDIS_USER_SESSION_KEY + “:” + token, SSO_SESSION_EXPIRE);
//返回用户信息
return JResult.ok(JsonUtils.jsonToPojo(json, TbUser.class));

源代码会在评论给出地址哈，之后