關於redis實現單點登入的一點思路
先簡單說一下單點登入:
把登入的部分單獨拿出來作為一個專案,專門用來登入。
當我想訪問某個子專案或者模組的時候,會先請求登入的部分,如果登入過了,就不需要再登入了。
這個和單獨專案時,把userId放到session中道理是一樣的。
因為多個子專案在不同的tomcat,無法實現session共享,這時我們可以利用cookie。
多說幾句關於cookie和session的區別:
cookie是針對於瀏覽器的,session是針對伺服器的。
cookie的產生會有JSessionId,也就是session的唯一憑證。
cookie是當前瀏覽器對該父域名用作資料共享和記錄的。
session是在伺服器上開闢了一塊記憶體,用於當前session(同一JSessionId)使用者的資料共享。
關於cookie和session的區別,只是個人理解,有不同的看法可以提,多交流。
說一下流程:
使用者在一個模組登入,會進到登入系統,先驗證你的使用者名稱和密碼是否正確,如果正確。
會產生一個唯一票據,我們這裡叫他token,把這個token放到redis中,存放方式是這樣的。
redis.put(token,userId);//儲存一條對應使用者資訊的token
redis,put("your setting",token);//再儲存一條對應userId的唯一標識,your setting可以寫成loginSys+userId
為什麼要這麼存,正常的思路是隻存上面一條就行了,稍後解答。
我們把token返回,response.addCookie(new Cookie("my cookie",token));//這裡的my cookie可以寫成loingSysCookie
流程實現是這樣的,需要設定過期時間等等引數,這裡就不寫了。
這時候只要是同一瀏覽器,就會帶著這個cookie,訪問該專案下的子專案(父級域名下的子級域名,比如www.baidu.com和mp3.baidu.com的關係),
進入登入系統,拿到token,進到redis中比對,是否有使用者就可以了,如果有,就不需要再登入了。
下面說一下上面的疑問:
當我再一次登入系統的時候,先去找redis中的redis,get("your setting")是否為空,已經在別處登入過的使用者,可以取到他的token,
redis.del(token),這樣就實現了單點登入,同步登出。
之後再設定redis和cookie,方法同上。
很多沒有redis中放第二條,就無法實現單點登入同步登出,雖然設定了過期時間,但使用者體驗和安全性還是差一點。