SSO 什么是单点登录sso「什么是单点登录」( 二 )


用户登录时 , 验证用户的账户和密码生成一个Token保存在数据库中,将Token写到Cookie中将用户数据保存在Session中请求时都会带上Cookie , 检查有没有登录,如果已经登录则放行如果没看懂的同学,建议回顾Session和Cookie和HTTP:
介绍会话技术、Cookie的API、详解、应用Session介绍、API、生命周期、应用、与Cookie区别什么是HTTP三、多系统登录的问题与解决
3.1 Session不共享问题
单系统登录功能主要是用Session保存用户信息来实现的,但我们清楚的是:多系统即可能有多个Tomcat,而Session是依赖当前系统的Tomcat,所以系统A的Session和系统B的Session是 不共享 的 。

SSO 什么是单点登录sso「什么是单点登录」

文章插图
解决系统之间Session不共享问题有一下几种方案:
Tomcat集群Session全局复制(集群内每个tomcat的session完全同步)【会影响集群的性能呢,不建议】根据请求的IP进行 Hash映射 到对应的机器上(这就相当于请求的IP一直会访问同一个服务器)【如果服务器宕机了,会丢失了一大部分Session的数据,不建议】把Session数据放在Redis中(使用Redis模拟Session)【 建议 】如果还不了解Redis的同学 , 建议移步( Redis合集 )我们可以将登录功能 单独抽取 出来,做成一个子系统 。
SSO 什么是单点登录sso「什么是单点登录」

文章插图
SSO(登录系统)的逻辑如下:
// 登录功能(SSO单独的服务)@Overridepublic TaotaoResult login(String username, String password) throws Exception {//根据用户名查询用户信息 TbUserExample example = new TbUserExample(); Criteria criteria = example.createCriteria(); criteria.andUsernameEqualTo(username); List list = userMapper.selectByExample(example); if (null == list || list.isEmpty()) { return TaotaoResult.build(400, "用户不存在"); } //核对密码 TbUser user = list.get(0); if (!DigestUtils.md5DigestAsHex(password.getBytes()).equals(user.getPassword())) { return TaotaoResult.build(400, "密码错误"); } //登录成功,把用户信息写入redis //生成一个用户token String token = UUID.randomUUID().toString(); jedisCluster.set(USER_TOKEN_KEY":"token, JsonUtils.objectToJson(user)); //设置session过期时间 jedisCluster.expire(USER_TOKEN_KEY":"token, SESSION_EXPIRE_TIME); return TaotaoResult.ok(token);}其他子系统登录时 ,  请求SSO(登录系统)进行登录,将返回的token写到Cookie中 ,下次访问时则把Cookie带上:
public TaotaoResult login(String username, String password,HttpServletRequest request, HttpServletResponse response) { //请求参数 Map param = new HashMap(); param.put("username", username); param.put("password", password); //登录处理 String stringResult = HttpClientUtil.doPost(REGISTER_USER_URLUSER_LOGIN_URL, param); TaotaoResult result = TaotaoResult.format(stringResult); //登录出错 if (result.getStatus() != 200) { return result; } //登录成功后把取token信息 , 并写入cookie String token = (String) result.getData(); //写入cookie CookieUtils.setCookie(request, response, "TT_TOKEN", token); //返回成功 return result; }总结:
SSO系统生成一个token , 并将用户信息存到Redis中,并设置过期时间其他系统请求SSO系统进行登录,得到SSO返回的token,写到Cookie中每次请求时,Cookie都会带上,拦截器得到token , 判断是否已经登录到这里,其实我们会发现其实就两个变化:
将登陆功能抽取为一个系统(SSO),其他系统请求SSO进行登录本来将用户信息存到Session , 现在将用户信息存到Redis3.2 Cookie跨域的问题
上面我们解决了Session不能共享的问题,但其实还有另一个问题 。Cookie是不能跨域的
比如说,我们请求时,浏览器会自动把 google.com 的Cookie带过去给 google 的服务器,而不会把的Cookie带过去给 google 的服务器 。