分布式单点登陆框架XXL-SSO

时间 2019-12-05

标签分布式单点登陆框架 xxl sso 栏目系统架构繁體版

原文原文链接

《分布式单点登陆框架XXL-SSO》

1、简介

1.1 概述

XXL-SSO 是一个分布式单点登陆框架。只须要登陆一次就能够访问全部相互信任的应用系统。
拥有"轻量级、分布式、跨域、Cookie+Token均支持、Web+APP均支持"等特性；。现已开放源代码，开箱即用。html

1.2 特性

一、简洁：API直观简洁，可快速上手；
二、轻量级：环境依赖小，部署与接入成本较低；
三、单点登陆：只须要登陆一次就能够访问全部相互信任的应用系统。
四、分布式：接入SSO认证中心的应用，支持分布式部署；
五、HA：Server端与Client端，均支持集群部署，提升系统可用性；
六、跨域：支持跨域应用接入SSO认证中心；
七、Cookie+Token均支持：支持基于Cookie和基于Token两种接入方式，并均提供Sample项目；
八、Web+APP均支持：支持Web和APP接入；
九、实时性：系统登录、注销状态，所有Server与Client端实时共享；
十、CS结构：基于CS结构，包括Server"认证中心"与Client"受保护应用"；
十一、记住密码：未记住密码时，关闭浏览器则登陆态失效；记住密码时，支持登陆态自动延期，在自定义延期时间的基础上，原则上能够无限延期；
十二、路径排除：支持自定义多个排除路径，支持Ant表达式。用于排除SSO客户端不须要过滤的路径；

1.3 下载

文档地址

中文文档

源码仓库地址

源码仓库地址	Release Download
https://github.com/xuxueli/xxl-sso	Download
https://gitee.com/xuxueli0323/xxl-sso	Download

技术交流

社区交流

1.4 环境

JDK：1.7+
Redis：4.0+
Mysql：5.6+

2、快速入门（基于Cookie）

基于Cookie，相关概念可参考 "章节 4.6"；git

2.1：系统数据库初始化

2.2：源码编译

- xxl-sso-server：中央认证服务，支持集群；
- xxl-sso-core：Client端依赖；
- xxl-sso-samples：单点登录Client端接入示例项目；
    - xxl-sso-web-sample-springboot：基于Cookie接入方式，供用户浏览器访问，springboot版本
    - xxl-sso-token-sample-springboot：基于Token接入方式，经常使用于没法使用Cookie的场景使用，如APP、Cookie被禁用等，springboot版本

2.3 部署 "认证中心（SSO Server）"

项目名：xxl-sso-server

配置说明

配置文件位置：application.propertiesgithub

……

// redis 地址： 如 "{ip}"、"{ip}:{port}"、"{redis/rediss}://xxl-sso:{password}@{ip}:{port:6379}/{db}"；多地址逗号分隔
xxl.sso.redis.address=redis://127.0.0.1:6379

// 登陆态有效期窗口，默认24H，当登陆态有效期窗口过半时，自动顺延一个周期；
xxl.sso.redis.expire.minite=1440

2.4 部署 "单点登录Client端接入示例项目"

项目名：xxl-sso-web-sample-springboot

maven依赖

<dependency>
    <groupId>com.xuxueli</groupId>
    <artifactId>xxl-sso-core</artifactId>
    <version>${最新稳定版}</version>
</dependency>

配置 XxlSsoFilter

参考代码：com.xxl.sso.sample.config.XxlSsoConfigweb

@Bean
public FilterRegistrationBean xxlSsoFilterRegistration() {

    // xxl-sso, redis init
    JedisUtil.init(xxlSsoRedisAddress);

    // xxl-sso, filter init
    FilterRegistrationBean registration = new FilterRegistrationBean();

    registration.setName("XxlSsoWebFilter");
    registration.setOrder(1);
    registration.addUrlPatterns("/*");
    registration.setFilter(new XxlSsoWebFilter());
    registration.addInitParameter(Conf.SSO_SERVER, xxlSsoServer);
    registration.addInitParameter(Conf.SSO_LOGOUT_PATH, xxlSsoLogoutPath);

    return registration;
}

配置说明

配置文件位置：application.propertiesredis

……

### xxl-sso     (CLient端SSO配置)

##### SSO Server认证中心地址（推荐以域名方式配置认证中心，本机可参考章节"2.5"修改host文件配置域名指向）
xxl.sso.server=http://xxlssoserver.com:8080/xxl-sso-server

##### 注销登录path，值为Client端应用的相对路径
xxl.sso.logout.path=/logout

##### 路径排除Path，容许设置多个，且支持Ant表达式。用于排除SSO客户端不须要过滤的路径
xxl-sso.excluded.paths=

### redis   // redis address, like "{ip}"、"{ip}:{port}"、"{redis/rediss}://xxl-sso:{password}@{ip}:{port:6379}/{db}"；Multiple "," separated
xxl.sso.redis.address=redis://xxl-sso:password@127.0.0.1:6379/0

2.5 验证

环境准备：启动Redis、初始化Mysql表数据；spring
修改Host文件：域名方式访问认证中心，模拟跨域与线上真实环境

### 在host文件中添加如下内容0
127.0.0.1 xxlssoserver.com
127.0.0.1 xxlssoclient1.com
127.0.0.1 xxlssoclient2.com

分别运行 "xxl-sso-server" 与 "xxl-sso-web-sample-springboot"sql

一、SSO认证中心地址：
http://xxlssoserver.com:8080/xxl-sso-server数据库

二、Client01应用地址：
http://xxlssoclient1.com:8081/xxl-sso-web-sample-springboot/跨域

三、Client02应用地址：
http://xxlssoclient2.com:8081/xxl-sso-web-sample-springboot/浏览器
SSO登陆/注销流程验证

正常状况下，登陆流程以下：
一、访问 "Client01应用地址" ，将会自动 redirect 到 "SSO认证中心地址" 登陆界面；
二、成功登陆后，将会自动 redirect 返回到 "Client01应用地址"，并切换为已登陆状态；
三、此时，访问 "Client02应用地址"，不需登录将会自动切换为已登陆状态；

正常状况下，注销流程以下：
一、访问 "Client01应用地址" 配置的 "注销登录path"，将会自动 redirect 到 "SSO认证中心地址" 并自动注销登录状态；
二、此时，访问 "Client02应用地址"，也将会自动注销登录状态；

3、快速入门（基于Token）

基于Token，相关概念可参考 "章节 4.7"；（在一些没法使用Cookie的场景下，可以使用该方式，不然能够忽略本章节）

3.1 "认证中心（SSO Server）" 搭建

可参考 "章节二" 搭建；

"认证中心" 搭建成功后，默认为Token方式登录提供API接口以下：

一、登录接口：/app/login
- 参数：POST参数
  - username：帐号
  - password：帐号
- 响应：JSON格式
  - code：200 表示成功、其余失败；
  - msg：错误提示
  - data: 登录用户的 sso sessionid
二、注销接口：/app/logout
- 参数：POST参数
  - sessionId：登录用户的 sso sessionid
- 响应：JSON格式
  - code：200 表示成功、其余失败；
  - msg：错误提示
三、登录状态校验接口：/app/logincheck
- 参数：POST参数
  - sessionId：登录用户的 sso sessionid
- 响应：JSON格式
  - code：200 表示成功、其余失败；
  - msg：错误提示
  - data：登录用户信息
    - userid：用户ID
    - username：用户名

2.2 部署 "单点登录Client端接入示例项目" (Token方式)

项目名：xxl-sso-token-sample-springboot

可参考 "章节 2.4" 部署 "单点登录Client端接入示例项目"，惟一不一样点是：将web应用的 "XxlSsoFilter" 更换为app应用 "XxlSsoTokenFilter"；

2.3 验证 (模拟请求 Token 方式接入SSO的接口)

环境准备：启动Redis、初始化Mysql表数据；
修改Host文件：域名方式访问认证中心，模拟跨域与线上真实环境

### 在host文件中添加如下内容0
127.0.0.1 xxlssoserver.com
127.0.0.1 xxlssoclient1.com
127.0.0.1 xxlssoclient2.com

分别运行 "xxl-sso-server" 与 "xxl-sso-token-sample-springboot"

一、SSO认证中心地址：
http://xxlssoserver.com:8080/xxl-sso-server

二、Client01应用地址：
http://xxlssoclient1.com:8082/xxl-sso-token-sample-springboot/

三、Client02应用地址：
http://xxlssoclient2.com:8082/xxl-sso-token-sample-springboot/
SSO登陆/注销流程验证

可参考测试用例：com.xxl.app.sample.test.TokenClientTest

正常状况下，登陆流程以下：
一、获取用户输入的帐号密码后，请求SSO Server的登陆接口，获取用户 sso sessionid ；（参考代码：TokenClientTest.loginTest）
二、登录成功后，获取到 sso sessionid ，须要主动存储，后续请求时须要设置在 Header参数中；
三、此时，使用 sso sessionid 访问受保护的 "Client01应用" 和 "Client02应用" 提供的接口，接口均正常返回；（参考代码：TokenClientTest.clientApiRequestTest）

正常状况下，注销流程以下：
一、请求SSO Server的注销接口，注销登录凭证 sso sessionid ；（参考代码：TokenClientTest.logoutTest）
二、注销成功后，sso sessionid 将会全局失效；
三、此时，使用 sso sessionid 访问受保护的 "Client01应用" 和 "Client02应用" 提供的接口，接口请求将会被拦截，提示未登陆并返回状态码 501 ；（参考代码：TokenClientTest.clientApiRequestTest）

4、整体设计

4.1 架构图

4.2 功能定位

XXL-SSO 是一个分布式单点登陆框架。只须要登陆一次就能够访问全部相互信任的应用系统。

借助 XXL-SSO，能够快速实现分布式系统单点登陆。

4.3 核心概念

概念	说明
SSO Server	中央认证服务，支持集群；
SSO Client	接入SSO认证中心的Client应用；
SSO SessionId	登陆用户会话ID，SSO 登陆成功为用户自动分配；
SSO User	登陆用户信息，与 SSO SessionId 相对应；

4.4 登陆流程剖析

用户于Client端应用访问受限资源时，将会自动 redirect 到 SSO Server 进入统一登陆界面。
用户登陆成功以后将会为用户分配 SSO SessionId 并 redirect 返回来源Client端应用，同时附带分配的 SSO SessionId。
在Client端的SSO Filter里验证 SSO SessionId 无误，将 SSO SessionId 写入到用户浏览器Client端域名下 cookie 中。
SSO Filter验证 SSO SessionId 经过，受限资源请求放行；

4.5 注销流程剖析

用户与Client端应用请求注销Path时，将会 redirect 到 SSO Server 自动销毁全局 SSO SessionId，实现全局销毁；
而后，访问接入SSO保护的任意Client端应用时，SSO Filter 均会拦截请求并 redirect 到 SSO Server 的统一登陆界面。

4.6 基于Cookie，相关感念

登录凭证存储：登录成功后，用户登录凭证被自动存储在浏览器Cookie中；
Client端校验登录状态：经过校验请求Cookie中的是否包含用户登陆凭证判断；
系统角色模型：
- SSO Server：认证中心，提供用户登录、注销以及登录状态校验等功能。
- Client应用：受SSO保护的Client端Web应用，为用户浏览器访问提供服务；
- 用户：发起请求的用户，使用浏览器访问。

4.7 基于Token，相关感念

登录凭证存储：登录成功后，获取到登陆凭证（xxl_sso_sessionid=xxx），须要主动存储，如存储在 localStorage、Sqlite 中；
Client端校验登录状态：经过校验请求 Header参数中的是否包含用户登陆凭证（xxl_sso_sessionid=xxx）判断；所以，发送请求时须要在 Header参数中设置登录凭证；
系统角色模型：
- SSO Server：认证中心，提供用户登录、注销以及登录状态校验等功能。
- Client应用：受SSO保护的Client端Web应用，为用户请求提供接口服务；
- 用户：发起请求的用户，如使用Android、IOS、桌面客户端等请求访问。

4.8 未登陆状态请求处理

基于Cookie，未登陆状态请求：

页面请求：redirect 到SSO Server登陆界面；
JSON请求：返回未登陆的JSON格式响应数据
- 数据格式：
  - code：501 错误码
  - msg：sso not login.

基于Token，未登陆状态请求：

返回未登陆的JSON格式响应数据
- 数据格式：
  - code：501 错误码
  - msg：sso not login.

4.9 登陆态自动延期

支持自定义登陆态有效期窗口，默认24H，当登陆态有效期窗口过半时，自动顺延一个周期；

4.10 记住密码

未记住密码时，关闭浏览器则登陆态失效；记住密码时，登陆态自动延期，在自定义延期时间的基础上，原则上能够无限延期；

4.11 路径排除

自定义路径排除Path，容许设置多个，且支持Ant表达式。用于排除SSO客户端不须要过滤的路径

5、版本更新日志

5.1 版本 v0.1.0，新特性[2018-04-04]

一、简洁：API直观简洁，可快速上手；
二、轻量级：环境依赖小，部署与接入成本较低；
三、单点登陆：只须要登陆一次就能够访问全部相互信任的应用系统。
四、分布式：接入SSO认证中心的应用，支持分布式部署；
五、HA：Server端与Client端，均支持集群部署，提升系统可用性；
六、实时性：系统登录、注销状态，所有Server与Client端实时共享；
七、CS结构：基于CS结构，包括Server"认证中心"与Client"受保护应用"；
八、跨域：支持跨域应用接入SSO认证中心；

5.2 版本 v1.1.0 Release Notes [2018-11-06]

一、Redis配置方式加强，支持自定义DB、密码、IP、PORT等等；；
二、Token接入方式；除了常规Cookie方式外，新增Token接入方式，并提供Sample项目；
三、登陆态自动延期：支持自定义登陆态有效期窗口，默认24H，当登陆态有效期窗口过半时，自动顺延一个周期；
四、"记住密码" 功能优化：未记住密码时，关闭浏览器则登陆态失效；记住密码时，登陆态自动延期，在自定义延期时间的基础上，原则上能够无限延期；
五、sessionId数据结构优化，进一步提高暴露破解难度；
六、认证数据存储结构调整，避免登录信息存储冗余；
七、认证中心用户登陆校验改成Mock数据方式，取消对DB强依赖，下降部署难度；
八、Client端依赖Core包，slf4j依赖优化，移除log4j强依赖；
九、Ajax请求未登陆处理逻辑优化，返回JSON格式提示数据；
十、项目结构梳理，清理冗余依赖，升级多项依赖版本至较近版本；
十一、路径排除：新增自定义属性 "excludedPaths"，容许设置多个，且支持Ant表达式。用于排除SSO客户端不须要过滤的路径

5.3 版本 v1.1.1 Release Notes [迭代中]

一、 [迭代中]spring mvc 版本示例；

TODO LIST

一、认证中心与接入端交互数据加密，加强安全性；redirect_url必须和临时AccessToken配合才会生效，AccessToken有效期60s；
二、SSO SessionId 与IP绑定，加强用户加强安全性；
三、支持认证分组，分组内共享登录状态，分组之间登陆态隔离；待考虑；
四、客户端新增属性 "xxl.sso.server"，用于构建跳转链接，防止跳转第三方致使登录漏洞；
五、token验证方式增长jwt方式支持；
六、Client端移除Redis依赖，改成LocalCache + RPC校验方式；

6、其余

6.1 项目贡献

欢迎参与项目贡献！好比提交PR修复一个bug，或者新建 Issue 讨论新特性或者变动。

6.2 用户接入登记

更多接入的公司，欢迎在登记地址登记，登记仅仅为了产品推广。

6.3 开源协议和版权

产品开源免费，而且将持续提供免费的社区技术支持。我的或企业内部可自由的接入和使用。

Licensed under the GNU General Public License (GPL) v3.

捐赠

不管金额多少都足够表达您这份心意，很是感谢：）前往捐赠