SSO： Single Sign On，官方的概念：web系統由單系統發展成多系統組成的應用群，複雜性應該由系統內部承擔，而不是使用者。無論web系統內部多麼複雜，對使用者而言，都是一個統一的整體，也就是說，使用者訪問web系統的整個應用群與訪問單個系統一樣，登入/登出只要一次就夠了。

簡言之，系統內部通過某種技術實現使用者統一登入和登出，所以單點登入技術一定要包括兩部分：登入、登出。

1為什麼要用單點登入？因為Cookie不能跨域。

2如何實現單點登入？

建立許可權認證中心來處理登入和登出的問題，真正提供服務的應用服務端通過Filter將鑑權任務重定向給認證中心。

原理圖：

登入：

登出：

首先看得出分為2個角色，一個是應用服務端，也就是認證客戶端；另一個是認證服務端。根據上圖來分析2個角色應該具備的功能。

認證客戶端應該具備的能力：

1必須以Filter或者外掛等形式提供，方便系統接入SSO。

2未登陸的使用者重定向到SSO認證中心

3接收SSO發來的令牌並將該令牌發回給SSO做令牌認證

4處理令牌認證結果並建立區域性會話

5攔截使用者登出請求並重定向到SSO

6處理SSO發來的登出會話請求

認證服務端應該具備的能力：

0獨立的web服務

1提供登陸頁面，和對使用者的校驗

2建立全域性會話、提供token

3校驗token有效性並維護client端地址

4處理登出請求、銷燬全域性會話、並通知維護的

client端地址

5判斷使用者有沒有登入

程式碼模擬：

總共4個專案，核心的是2個SSO-server和SSO-client，其中client不是獨立的web應用而是程式碼外掛。SSO-mock-app1和SSO-mock-app2是安裝了外掛的2個獨立應用。

Sso-server:https://github.com/yejingtao/forblog/tree/master/sso-server

Sso-client:https://github.com/yejingtao/forblog/tree/master/sso-client

Sso-mock-app1:https://github.com/yejingtao/forblog/tree/master/sso-mock-app1

Sso-moke-app2:https://github.com/yejingtao/forblog/tree/master/sso-mock-app2

Sso-client包括3部分：filter負責判斷使用者是否登陸和重定向到sso-server；controller負責與sso-server傳遞令牌等通訊；service維護區域性會話狀態。

Sso-server包括3部分：controller負責與sso-client傳遞令盤、校驗使用者登陸情況等通訊；service維護全域性使用者會話狀態；templates為使用者登陸提供頁面入口

下面我們按照圖中的順序來對照程式碼看一下：

1 客戶端filter判斷如果使用者沒有登入，重定向到sso-server端：

登陸過放行

if(userName!=null 
				&& String.valueOf(userName).trim().length()>0 
				&& userAccessService.checkUserStatus(userName.toString())) {
			chain.doFilter(req, response);
		}

沒登陸過重定向：

String originalUrl = req.getRequestURL().toString();
				 httpResponse.sendRedirect(ssoServerPath+"/index?originalUrl="+originalUrl+"&ssoUser="+userName);

2 sso-server端收到請求也需要判斷使用者是否登陸，使用者不存在就給到自己的登陸頁面，同時返回請求過來的連線在成功登陸後做3秒自動跳轉。

@RequestMapping("/index")
	public String firstCheck(HttpServletRequest request) {
		String originalUrl = request.getParameter("originalUrl");
		String ssoUser = request.getParameter("ssoUser");
		String token = null;
		boolean loginFlag = false;
		if(ssoUser!=null && ssoUser.trim().length()>0) {
			//對使用者先判斷是否已經登陸過
			token = authSessionService.getUserToken(ssoUser);
			if(token!=null) {
				loginFlag = true;
			}
		}
		if(loginFlag) {
			//判斷如果使用者已經在SSO-Server認證過，直接傳送token
			if(tokenTrans(request,originalUrl,ssoUser,token)) {
				if(originalUrl!=null) {
					if(originalUrl.contains("?")) {
						originalUrl = originalUrl + "&ssoUser="+ssoUser;
					}else {
						originalUrl = originalUrl + "?ssoUser="+ssoUser;
					}
				}
			}
			return "redirect:"+originalUrl;
		}else {
			//需要替換成專業點的路徑,自己登陸下了
			return "redirect:/loginPage?originalUrl="+request.getParameter("originalUrl");
		}
	}

3 使用者登陸頁面登入後，驗證使用者名稱、建立token

//登陸邏輯,返回的是令牌
	@RequestMapping(value="/doLogin",method=RequestMethod.POST)
	public String login(HttpServletRequest request, HttpServletResponse response,
			String userName, String password, String originalUrl) {
		if(authSessionService.verify(userName,password)) {
			String token = authSessionService.cacheSession(userName);
			if(tokenTrans(request,originalUrl,userName,token)) {
				//跳轉到提示成功的頁面
				request.setAttribute("helloName", userName);
				if(originalUrl!=null) {
					if(originalUrl.contains("?")) {
						originalUrl = originalUrl + "&ssoUser="+userName;
					}else {
						originalUrl = originalUrl + "?ssoUser="+userName;
					}
					request.setAttribute("originalUrl", originalUrl);
				}
			}
			return "hello";//TO-DO 三秒跳轉
		}
		//驗證不通過，重新來吧
		if(originalUrl!=null) {
			request.setAttribute("originalUrl", originalUrl);
		}
		return "loginIndex";
	}

重點是token如何傳給sso-client端並從clinet端註冊上來地址的：

4 server端將token傳給client端：

private boolean tokenTrans(HttpServletRequest request, String originalUrl,String userName, String token) {
		String[] paths = originalUrl.split("/");
		String shortAppServerUrl = paths[2];
		String returnUrl = "http://"+shortAppServerUrl+"/receiveToken?ssoToken="+token+"&userName="+userName;
		//http://peer1:8088/receiveToken?ssoToken=80414bcb-a71d-48c8-bfee-098a303324d4&userName=xixi
		return "success".equals(restTemplate.getForObject(returnUrl, String.class));
		
	}

5 client端將收到的token和自己的服務地址傳遞給server端：

@RequestMapping("/receiveToken")
	@ResponseBody
	public String receiveToken(HttpServletRequest request, String ssoToken,String userName) {
		if(ssoToken!=null && ssoToken.toString().trim().length()>0) {
			String realUrl = request.getRequestURL().toString();
			String[] paths = realUrl.split("/");
			String realUrlUrls = paths[2];
			String returnUrl = ssoServerPath+"/varifyToken?address="+realUrlUrls+"&token="+ssoToken;
			//http://peer2:8089/varifyToken?address=peer1:8088&token=c2ce29be-5adb-4aaf-82cc-2ba24330176e
			String resultStr =  restTemplate.getForObject(returnUrl, String.class);
			if("true".equals(resultStr)) {
				//建立區域性會話，儲存使用者狀態為已登陸
				userAccessService.putUserStatus(userName, resultStr);
				return "success";
			}
		}
		return "error";
	}

6 server端檢查token是否是自己發放的令牌並維護客戶端的地址

//校驗token並註冊地址
	@RequestMapping(value="/varifyToken",method=RequestMethod.GET)
	@ResponseBody
	public String varifyToken(String token, String address) {
		return String.valueOf(authSessionService.checkAndAddAddress(token, address));
	}

7 令牌互動完畢後，提示使用者登陸成功並自動跳轉回使用者的app服務頁面

onload = function(){
		setInterval(go,1000);
	};
	var x = 3;
	function go(){
		x--;
		if(x>0){
			document.getElementById('sp').innerHTML = x;
		}else{
			var returnUrl = [[${originalUrl}]];
			location.href = returnUrl;
		}
	}

8 sso-client要有根據使用者名稱發起登出的能力

@RequestMapping("/ssoLogout")
	@ResponseBody
	public String ssoLogout(String userName) {
		String userToken = userAccessService.getUserToken(userName);
		if(userToken!=null) {
			String returnUrl = ssoServerPath+"/logoutByToken?ssoToken="+userToken;
			return restTemplate.getForObject(returnUrl, String.class);
		}
		return "None Token";
	}

9 登出在sso-server端提供2種，可以用使用者登出，也可以用token登出，程式碼中都有提供這裡主要講根據token登出，我們假定登出請求都是從客戶端發起的

@RequestMapping(value="/logoutByToken",method=RequestMethod.GET)
	@ResponseBody
	public String logoutByToken(String ssoToken) {
		List<String> addressList = authSessionService.logoutByToken(ssoToken);
		if(addressList!=null) {
			addressList.stream().forEach(s -> sendLogout2Client(s,ssoToken));
		}
		return "logout";
	}
	
	private void sendLogout2Client(String address,String ssoToken) {
		String returnUrl = "http://"+address+"/ssoDeleteToken?ssoToken="+ssoToken;
		try {
			restTemplate.getForObject(returnUrl, String.class);
		}catch(Exception e) {
			//Log and do nothing
		}
	}

10  對應的客戶端要有個刪除token的接收動作

@RequestMapping("/ssoDeleteToken")
	@ResponseBody
	public String ssoDeleteToken(String ssoToken) {
		userAccessService.deleteToken(ssoToken);
		return "success";
	}

11 細節需要注意下：

a 客戶端filter過濾範圍要控制好，不要將sso-server發來的請求進行過濾，否則會死迴圈

b client端和server端的Redis要維護好user和token

啟動測試：

Sso-mock-app1，植入sso-client外掛，域名使用peer1,服務地址peer1:9001

Sso-mock-app2，植入sso-client外掛，域名使用peer2,服務地址peer2:9002

Sso-Server，獨立部署，域名使用peer3,服務地址peer3:9003

都啟動之後，開始測試：

步驟二：在peer3，也就是SSO-Server的登陸頁面上用yejingtao賬戶登陸，登陸成功後3秒鐘後頁面自動跳轉到peer1的步驟一中的請求頁面。

步驟三：在app2服務嘗試yejingtao賬號直接訪問，成功。

步驟四：在SSO-Server端登出該賬號

步驟五：登出後app1和app2又要重新登入了。

整個過程中可以配合redisclient觀察redis資料幫助自己理解。

由於只是驗證和示例程式碼，好多可以優化的地方，例如

1 token已經預留了失效時間，可以在邏輯中增加對token時效的判斷，並定時清理

2 sso-server與sso-client的通訊可以改成post請求，雖然不會經過瀏覽器，從使用效果和安全級別上沒有差別，但是從http協議設計來考慮還是post更好

3 Redis序列化部分可以換成Jackson2JsonRedisSerializer節省記憶體空間

4 sso-client攔截的許可權範圍可以放在application.yml中讓使用者自己設定

如果自己產品中用SSO的話當然不用自己寫，成型有CAS等，原理當然差別不大。 還有一種解決系統間統一認證的思路，OAuth2.0，雖然也是解決多系統登入的，但是跟這裡的單點登入思路完全不一樣，等後面有機會再博文介紹。