最近做新的web应用, 要求可以用其他系统的账号登录,如老系统的单点登录,第三方平台登录情况,于是我从新梳理一下从最简单服务器登录到复杂的情况:
1. 单台服务器
1 原始服务器自动做的
浏览器第一次请求时,服务器端创建session,并把sessionid发给客户端存放在cookie中id为jssseionid。
浏览器第二次请求时,服务器获取客户端的cookie中的jsessionid,根据jsessionid找到session对象。
2 登录系统方案
2.1 登录:,需要过滤所有请求,判断是否登录过, 登录则可以通过,否则返回登录页。
2.2 在过滤器中,每次请求时,都获取session(request.getSession()),如果是第一次请求,此时session为新建的session,判断session中的用户信息是否存在(session.getAttrbute(“user”),登录时存放用户信息。)。如果不存在,则跳转到登录页面。
2.3 用户登录页面确认登录的请求到服务器时(此时用户身份验证过滤器不过滤该请求),验证用户信息,然后获取用户信息并将其存放到session(session.setAttbute(“user”))中,之后跳转页面返回客户端。此时完成登录。
2.4 再次请求时。同样获取session,判断session中的用户信息是否存在(session.getAttrbute(“user”),因为已经登录过,所以此时的user信息存在,则可以继续访问。
总结:
单台服务器的登录,只需要在session中记录用户的信息,再次请求时,判断session中信息是否存在来判断是否登录过即可。不需要在自己往客户端写cookie。
2. 集群服务器
集群服务器登录跟单台的登录类似,不同之处是:客户端登录一台机器后,之后的请求可能被分配到其他的机器中,如果其他机器没有相关处理,则在其他机器上找不到登录信息会跳转到登录页。处理方式一般有两种情况:1、集群机器之间session同步。2、不同机器每次过滤请求时,没有登录的让其自动登录,这种情况需要一个登录信息记录在客户端中用于表明用户身份。
第一种处理方式在每个集群中的节点上都保持session,会占用一定资源,一般采用第二种处理方式,第二种方式主要做的就是记录登录信息到客户端,登录信息一般包括登录用户、登录时间(用于有效时间限制)、登录客户端ip,然后进行加密处理。在服务器中过滤请求时,如果判断session中登录信息不存在,则从cookie中去登录信息加密字符串。如果有字符串则进行解密,安全校验,通过后将用户信息记录在session中,完成自动登录功能。
总结:需要将登录信息写到客户端cookie中,登录信息加密解密在每个集群中的节点中,加密可以用两个混淆值,一个系统的混淆值,和一个客户端没有的用户信息可变值做混淆值。
3. Sso登录
单点登录和集群登录类似,不同之处在于登录信息的生成和校验是在SSO服务器中来做的,
用户登录时请求sso服务器,sso校验用户信息通过后生产登录信息,然后sso将登录信息写到客户端cookie中,客户端在请求应用服务器时,服务器判断session中没有登录信息后获取cookie中的用户信息字符串,并请求SSO服务器验证该字符串是否正确,如果正确并返回用户信息,应用服务器将用户信息放到session中。
总结:用户登录信息的生产和验证都要SSO服务器来做。应用服务器调用即可。
4. 第三方开放平台登录
第三方登录与单点登录类似,其实第三方就相当于一个SSO服务器。