SSO系统的实现

时间 2019-11-11

原文原文链接

当一个网站系统比较大型的时候，咱们一般采用面向服务的编程，采用分布式的编程。各个子系统共同来实现一个大的系统，这时候登陆注册功能的实现也面临着一些问题。java

1、WHAT?程序员

SSO是什么？redis

sso是单点登陆系统，即单独的一个登陆功能子系统，能够实现分布式系统的一次登陆其余系统免登陆的实现。数据库

SSO是在多个应用系统中，用户只须要登陆一次就能够访问全部相互信任的应用系统。编程

它包括能够将此次主要的登陆映射到其余应用中用于同一个用户的登陆的机制（说到底就是提供登陆注册接口，供其余系统调用，其余系统在每次使用的是调用接口，查看登陆状态，若是登陆了，则不需登陆，更新session的时间，若是没有登陆提示登陆）json

它是目前比较流行的企业业务整合的解决方案之一。tomcat

2、WHY?安全

当一个系统很大的时候，咱们须要进行服务器的集群部署，须要多个服务器共同做用。当把一套代码部署在不一样的服务器上时，由于分布式系统是由多个子系统（工程）构成，每一个工程都有本身的独立的session，而此时若是session不共享，用户在使用系统的时候一旦跳转到另一个工程，就提示用户名登陆，这是个很烦躁的事情。服务器

如上图，用户1访问了购物车信息，登陆了信息，当访问订单系统时又提示登陆系统，当访问安全系统的时候也提示登陆。这是多么烦躁的事情。session

3、解决方案

针对上述问题的解决方案有两种：

第一种方案

能够配置tomcat的session共享。配置tomcat集群。Tomcat配置好集群后，会不停的向集群中其余的tomcat广播本身的session信息。其余的tomcat作session同步。能够保证全部的tomcatsession中的内容都是一致的。

优势：不用修改代码就能够实现session共享。

缺点：tomcat 是全局session复制，集群内每一个tomcat的session彻底同步（也就是任什么时候候都彻底同样的) 在大规模应用的时候，用户过多，集群内tomcat数量过多，session的全局复制会致使集群性能降低，所以，tomcat的数量不能太多，5个如下为好。

不能解决分布式工程的session共享问题。例如支付宝和淘宝单点登陆的问题。

第二种方案

实现单点登陆系统，提供服务接口。把session数据存放在redis。

Redis能够设置key的生存时间、访问速度快效率高。

优势：redis存取速度快，不会出现多个节点session复制的问题。效率高。

缺点：须要程序员开发。

上图的意思即：当用户须要访问会员中心时，须要访问论坛时，须要访问订单系统时，都须要去调用sso判断下该用户是否登陆。

4、HOW?

下面来看下sso系统具体是如何实现的：

（1）校验、注册、登陆接口的编写文档，详见博文sso接口文档

（2）根据接口文档进行编写接口的实现。

校验接口的需求分析：

编码的分析步骤以下：首先考虑是否有传入的参数，其次返回值是什么，第三对哪张表进行操做，第四开始编写框架层dao，service，controller

1.1 数据校验

1.1.1 需求分析

接收url中的两个参数：一个是要校验的内容，一个是要校验的数据类型。

type为类型，可选参数一、二、3分别表明username、phone、email

返回：TaotaoResult。Json格式的数据，须要支持jsonp。

请求的url：http://sso.taotao.com/user/check/{param}/{type}

1.1.2 Dao层

要查询的表：

tb_user

单表查询。可使用逆向工程生成的代码。

1.1.3 Service层

接收两个参数：内容、内容类型。根据内容类型查询tb_user表返回Taotaoresult对象。Data属性值：返回数据，true：数据可用，false：数据不可用

@Service

public class UserServiceImpl implements UserService {

@Autowired

private TbUserMapper userMapper;

@Override

public TaotaoResult checkData(String content, Integer type) {

//建立查询条件

TbUserExample example = new TbUserExample();

Criteria criteria = example.createCriteria();

//对数据进行校验：一、二、3分别表明username、phone、email

//用户名校验

if (1 == type) {

criteria.andUsernameEqualTo(content);

//电话校验

} else if ( 2 == type) {

criteria.andPhoneEqualTo(content);

//email校验

} else {

criteria.andEmailEqualTo(content);

}

//执行查询

List<TbUser> list = userMapper.selectByExample(example);

if (list == null || list.size() == 0) {

return TaotaoResult.ok(true);

}

return TaotaoResult.ok(false);

}

1.1.4 Controller层

从url中接收两个参数，调用Service进行校验，在调用Service以前，先对参数进行校验，例如type必须是一、二、3其中之一。返回TaotaoResult。须要支持jsonp。

@Controller

@RequestMapping("/user")

public class UserController {

@Autowired

private UserService userService;

@RequestMapping("/check/{param}/{type}")

@ResponseBody

public Object checkData(@PathVariable String param, @PathVariable Integer type, String callback) {

TaotaoResult result = null;

//参数有效性校验

if (StringUtils.isBlank(param)) {

result = TaotaoResult.build(400, "校验内容不能为空");

}

if (type == null) {

result = TaotaoResult.build(400, "校验内容类型不能为空");

}

if (type != 1 && type != 2 && type != 3 ) {

result = TaotaoResult.build(400, "校验内容类型错误");

}

//校验出错

if (null != result) {

if (null != callback) {

MappingJacksonValue mappingJacksonValue = new MappingJacksonValue(result);

mappingJacksonValue.setJsonpFunction(callback);

return mappingJacksonValue;

} else {

return result;

}

//调用服务

try {

result = userService.checkData(param, type);

} catch (Exception e) {

result = TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

if (null != callback) {

MappingJacksonValue mappingJacksonValue = new MappingJacksonValue(result);

mappingJacksonValue.setJsonpFunction(callback);

return mappingJacksonValue;

} else {

return result;

}

1.2 用户注册

1.2.1 需求分析

请求方法为post，客户端提交表单。包含

username //用户名

password //密码

phone //手机号

email //邮箱

参数。

接收参数调用mapper向user表中添加记录。返回taotaoResult对象。若是成功200失败400异常500.

1.2.2 Dao层

可使用逆向工程生成代码

1.2.3 Service层

接收TbUser对象，补全user的属性。向tb_user表插入记录。返回taoTaoResult。

@Override

public TaotaoResult createUser(TbUser user) {

user.setUpdated(new Date());

user.setCreated(new Date());

//md5加密

user.setPassword(DigestUtils.md5DigestAsHex(user.getPassword().getBytes()));

userMapper.insert(user);

return TaotaoResult.ok();

}

1.2.4 Controller层

接收提交的数据用户名、密码、电话、邮件。使用pojo接收。使用TbUser。调用Service向表中添加记录。返回TaotaoResult.

//建立用户

@RequestMapping("/register")

public TaotaoResult createUser(TbUser user) {

try {

TaotaoResult result = userService.createUser(user);

return result;

} catch (Exception e) {

return TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

1.2.5 测试

表单的content-type：application/x-www-form-urlencoded; charset=UTF-8

表单的内容：

2 用户登陆接口

是一个post请求，包含用户和密码。接收用户名和密码，到数据库中查询，根据用户名查询用户信息，查到以后进行密码比对，须要对密码进行md5加密后进行比对。比对成功后说明登陆成功，须要生成一个token可使用UUID。须要把用户信息写入redis，key就是token，value就是用户信息。返回token字符串。

2.1 Dao层

查询数据库tb_user表。根据用户名查询用户信息。

2.2 Service层

接收两个参数用户名、密码。调用dao层查询用户信息。生成token，把用户信息写入redis。返回token。使用TaotaoResult包装。

/**

* 用户登陆

* <p>Title: userLogin</p>

* <p>Description: </p>

* @param username

* @param password

* @return

* @see com.taotao.sso.service.UserService#userLogin(java.lang.String, java.lang.String)

@Override

public TaotaoResult userLogin(String username, String password) {

TbUserExample example = new TbUserExample();

Criteria criteria = example.createCriteria();

criteria.andUsernameEqualTo(username);

List<TbUser> list = userMapper.selectByExample(example);

//若是没有此用户名

if (null == list || list.size() == 0) {

return TaotaoResult.build(400, "用户名或密码错误");

}

TbUser user = list.get(0);

//比对密码

if (!DigestUtils.md5DigestAsHex(password.getBytes()).equals(user.getPassword())) {

return TaotaoResult.build(400, "用户名或密码错误");

}

//生成token

String token = UUID.randomUUID().toString();

//保存用户以前，把用户对象中的密码清空。

user.setPassword(null);

//把用户信息写入redis

jedisClient.set(REDIS_USER_SESSION_KEY + ":" + token, JsonUtils.objectToJson(user));

//设置session的过时时间

jedisClient.expire(REDIS_USER_SESSION_KEY + ":" + token, SSO_SESSION_EXPIRE);

//返回token

return TaotaoResult.ok(token);

}

2.3 Controller层

接收表单，包含用户、密码。调用Service进行登陆返回TaotaoResult。

//用户登陆

@RequestMapping(value="/login", method=RequestMethod.POST)

@ResponseBody

public TaotaoResult userLogin(String username, String password) {

try {

TaotaoResult result = userService.userLogin(username, password);

return result;

} catch (Exception e) {

e.printStackTrace();

return TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

3 经过token查询用户信息

3.1 业务分析

根据token判断用户是否登陆或者session是否过时。接收token，根据token到redis中取用户信息。判断token字符串是否对应用户信息，若是不对应说明token非法或者session已过时。取到了说明用户就是正常的登陆状态。返回用户信息，同时重置用户的过时时间。

3.2 Dao层

使用JedisClient实现类。

3.3 Service层

接收token，调用dao，到redis中查询token对应的用户信息。返回用户信息并更新过时时间。

@Override

public TaotaoResult getUserByToken(String token) {

//根据token从redis中查询用户信息

String json = jedisClient.get(REDIS_USER_SESSION_KEY + ":" + token);

//判断是否为空

if (StringUtils.isBlank(json)) {

return TaotaoResult.build(400, "此session已通过期，请从新登陆");

}

//更新过时时间

jedisClient.expire(REDIS_USER_SESSION_KEY + ":" + token, SSO_SESSION_EXPIRE);

//返回用户信息

return TaotaoResult.ok(JsonUtils.jsonToPojo(json, TbUser.class));

}

3.4 Controller层

接收token调用Service返回用户信息，使用TaotaoResult包装。

请求的url：

http://sso.taotao.com/user/token/{token}

@RequestMapping("/token/{token}")

@ResponseBody

public Object getUserByToken(@PathVariable String token, String callback) {

TaotaoResult result = null;

try {

result = userService.getUserByToken(token);

} catch (Exception e) {

e.printStackTrace();

result = TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

//判断是否为jsonp调用

if (StringUtils.isBlank(callback)) {

return result;

} else {

MappingJacksonValue mappingJacksonValue = new MappingJacksonValue(result);

mappingJacksonValue.setJsonpFunction(callback);

return mappingJacksonValue;

}