在多系统应用群中,使用,例如,用户账户管理,用户应该有一个统一的账户,不应该让用户在每个子系统分别注册 登陆再分别登出。这就是我们所说的单点登陆问题,即SSO;
SSO问题,时大中型web应用经常碰到的问题,是java架构师需要掌握的必备技能之一,中高级以上Web工程师都应该对它有所了解;
http是一个无状态协议,在此之上实现会话管理,就需要额外的手段,1 带请求参数,侵入性较大,一般不使用,2 使用cookie,服务器通过HTTP响应创建好cookie后,浏览器就接收下来,下次请求会自动携带上返回给服务器,应用这个机制,我们可以实现应用层的登陆会话状态管理。
例如我们可以把登陆状态保存哎cookie中,这是客户端保存方式。会话信息在客户端,需要维护其安全性、徐娅加密文件、携带量变大,这样会影响http的处理效率,同时cookie的数据携带量也有一定的限制。
比较好的方式是服务器端的保存,cookie只保存会话信息的句柄,即在登陆成功后,服务器端可以创建一个唯一登陆会话,并把会话标识ID通过cookie返回给浏览器,浏览器下次访问时会自动带上这个ID,服务器根据ID即可判断是此会话中的请求,从而判断出是该用户,这种操作直到登出销毁会话为止。
我们使用的web应用服务器一般都会提供这种会话基础访问,如Tomcat的Session机制。也就是说,应用开发人员不必利用cookie亲自代码实现会话的创建 维护 和销毁等整个生命周期管理,这些内容服务器Seeion已经提供好了,我们只需要正确使用即可。
1 大中型web应用基本都是多系统组成是应用群,SSO是必须面对的基本问题。
2 Cookie有作用域限制,顶级域名Cookie不能共享,故登陆会话不能共享。
3 直接改造各子系统共享Session,通用性灵活性不强,或对原系统侵入性大,不是解决SSO根本办法。
来自:https://www.imooc.com/article/3555#
当用户访问子系统需要登录时,我们把它引到认证中心,让用户到认证中心去登录认证,认证通过后返回并告知系统用户已登录。当用户再访问另一系统应用时,我们同样引导到认证中心,发现已经登录过,即返回并告知该用户已登录
1 登陆属于系统安全管理模块一部分,涉及认证 建立会话 会话状态判断 取消会话等操作。
2 剥离各系统认证功能,建立统一独立认证服务中心,是解决SSO问题的正确方法。
3 由于是分布式,处理SSO需要解决认证消息传递问题、登陆状态判断问题、登出信息传递问题,保证各应用系统与认证中心之间有效通信。
来自:https://www.imooc.com/article/3558
1 临时令牌只能使用一次,不呢个长期存在,可以使用Redis来实现
2 全局会话和本地会话可以利用web服务器Session,但我们必须实现根据SeeionId查找seesion的功能。
3 服务器端之间HTTP协议方式的通信,可以使用HttpClient工具模拟浏览器实现。
来自:https://www.imooc.com/article/3564
1 CAS是中央认证服务的简称。目前已成为影响最大、广泛使用的、基于java实现的、开源SSO解决方案
2 CAS分为CAS Server认证中心和CAS Client应用系统连接组件,CAS Client支持java php .NET等多种语言开发系统
3 CAS Server是java Web应用,可部署在Tomcat中。CAS Client是连接组件,集成在需要单点登陆的各应用系统中,鉴于登陆安全性,实际应用中使用https协议,为调试方便,可修改为支持http。