Java实现单点登录(SSO)详解:从理论到实践

news2024/11/15 13:49:39


✨✨谢谢大家捧场,祝屏幕前的小伙伴们每天都有好运相伴左右,一定要天天开心哦!✨✨ 
🎈🎈作者主页: 喔的嘛呀🎈🎈
✨✨ 帅哥美女们,我们共同加油!一起进步!✨✨ 

目录

引言

一、什么是单点登录(SSO)?

二、SSO的工作原理

三、SSO的具体实现

SSO的核心概念

1. 令牌(Token)机制

2. 身份验证协议

SSO实现步骤

1. 选择身份验证协议

2. 创建认证服务器

3. 创建资源服务器

4. 客户端集成

总结


引言

随着互联网应用的不断发展,用户需要在多个系统之间无缝切换,而单点登录(Single Sign-On,简称SSO)技术应运而生。本篇博客将深入探讨Java中如何实现单点登录,通过详细代码和深度解析,带领读者逐步了解SSO的原理、流程和具体实现。

一、什么是单点登录(SSO)?

单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。

二、SSO的工作原理

SSO的工作原理基于令牌(Token)和身份验证协议。用户一旦登录系统,将获得一个令牌,该令牌包含了用户的身份信息。在之后的访问中,用户只需提供该令牌,而无需再次输入用户名和密码。

三、SSO的具体实现

SSO的核心概念

在深入代码之前,让我们先理解SSO的核心概念。

1. 令牌(Token)机制

SSO通过使用令牌实现用户的无缝切换。用户在登录成功后,获得一个令牌,该令牌包含了用户的身份信息。在之后的访问中,用户只需提供有效的令牌,而无需再次输入用户名和密码。

2. 身份验证协议

常见的身份验证协议包括OAuth 2.0和OpenID Connect。OAuth 2.0主要用于授权,而OpenID Connect在OAuth 2.0的基础上提供了身份验证的支持。

SSO实现步骤

1. 选择身份验证协议

在我们的实现中,我们选择使用OAuth 2.0和OpenID Connect协议。这两者的结合提供了强大的身份验证和授权机制。

2. 创建认证服务器

认证服务器是SSO系统的核心。我们使用Spring Security OAuth2和Spring Boot来实现一个简单但强大的认证服务器。

创建认证服务器是实现单点登录(SSO)系统的关键步骤之一。在这里,我们将使用Spring Security OAuth2和Spring Boot创建一个简单而强大的认证服务器。以下是详细的代码示例:

// 认证服务器配置类
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Value("${security.oauth2.client.client-id}")
    private String clientId;

    @Value("${security.oauth2.client.client-secret}")
    private String clientSecret;

    @Value("${security.oauth2.client.authorized-grant-types}")
    private String[] authorizedGrantTypes;

    @Value("${security.oauth2.client.scopes}")
    private String[] scopes;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
            .authenticationManager(authenticationManager)
            .userDetailsService(userDetailsService);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
            .tokenKeyAccess("permitAll()")
            .checkTokenAccess("isAuthenticated()");
    }

    @Bean
    public JdbcTokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    @Bean
    public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore tokenStore) {
        TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
        handler.setTokenStore(tokenStore);
        handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientId));
        handler.setClientDetailsService(clientDetailsService());
        handler.setUseApprovalStore(true);
        return handler;
    }

    @Bean
    public ApprovalStore approvalStore(TokenStore tokenStore) {
        TokenApprovalStore store = new TokenApprovalStore();
        store.setTokenStore(tokenStore);
        return store;
    }

    @Bean
    public ClientDetailsService clientDetailsService() {
        return new JdbcClientDetailsService(dataSource);
    }

    @Bean
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(tokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setClientDetailsService(clientDetailsService());
        tokenServices.setAuthenticationManager(authenticationManager);
        return tokenServices;
    }

    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public OAuth2RequestFactory requestFactory() {
        return new DefaultOAuth2RequestFactory(clientDetailsService());
    }

    @Bean
    @Primary
    public DefaultTokenServices defaultTokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        defaultTokenServices.setClientDetailsService(clientDetailsService());
        return defaultTokenServices;
    }

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public DataSourceInitializer dataSourceInitializer(DataSource dataSource) {
        DataSourceInitializer initializer = new DataSourceInitializer();
        initializer.setDataSource(dataSource);
        initializer.setDatabasePopulator(databasePopulator());
        return initializer;
    }

    private DatabasePopulator databasePopulator() {
        ResourceDatabasePopulator populator = new ResourceDatabasePopulator();
        populator.addScript(new ClassPathResource("schema.sql"));
        return populator;
    }
}

上述代码中,我们配置了认证服务器的各个方面,包括客户端信息、用户信息、令牌存储、用户批准处理等。这是一个基础配置,你可以根据实际需求进行调整和扩展。

此外,为了更好地演示,我们在配置中引入了一些外部配置(例如,client-id、client-secret、authorized-grant-types、scopes),你可以在应用的配置文件中定义这些属性。

通过这个认证服务器的配置,我们为SSO系统打下了坚实的基础。接下来,你可以继续配置资源服务器、客户端应用,并深入了解OAuth2和OpenID Connect协议的更多细节。

3. 创建资源服务器

在单点登录(SSO)系统中,资源服务器的作用是验证令牌并提供受保护的资源。以下是使用Spring Security实现资源服务器的详细代码示例:

// 资源服务器配置类
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Value("${security.oauth2.resource.id}")
    private String resourceId;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId(resourceId);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .antMatchers("/api/**").authenticated();
    }
}

在上述代码中,我们配置了资源服务器的两个主要部分:资源ID和HTTP安全性。

  1. configure(ResourceServerSecurityConfigurer resources) 方法用于配置资源服务器的资源ID。资源ID是资源服务器标识自身的唯一标识符,与授权服务器中的配置相对应。

  2. configure(HttpSecurity http) 方法定义了资源服务器的HTTP安全性配置。在这个例子中,我们允许对 /public/** 路径的请求进行公开访问,而对 /api/** 路径的请求进行身份验证。

请注意,你可能需要根据实际应用的需求进行调整和扩展,例如更复杂的授权规则、自定义访问决策等。

为了更好地演示,我们引入了一个外部配置(security.oauth2.resource.id),你可以在应用的配置文件中定义这个属性。

这个资源服务器配置类将帮助你在SSO系统中建立一个安全的资源服务,确保只有合法的用户(通过有效的令牌)能够访问受保护的资源。接下来,你可以继续配置客户端应用,使其能够通过令牌访问资源服务器上的资源。

4. 客户端集成

在单点登录(SSO)系统中,客户端应用需要集成认证服务器以获取令牌并访问资源服务器。以下是使用Spring Security OAuth2 Client实现客户端集成的详细代码示例:

// 客户端配置类
@Configuration
@EnableOAuth2Client
public class OAuth2ClientConfig {

    @Autowired
    private OAuth2RestTemplate restTemplate;

    @Bean
    public OAuth2RestTemplate restTemplate(OAuth2ProtectedResourceDetails resource) {
        return new OAuth2RestTemplate(resource);
    }

    @Bean
    public OAuth2ProtectedResourceDetails resourceDetails() {
        AuthorizationCodeResourceDetails details = new AuthorizationCodeResourceDetails();
        details.setClientId("client-id");
        details.setClientSecret("client-secret");
        details.setAccessTokenUri("http://localhost:8080/oauth/token");
        details.setUserAuthorizationUri("http://localhost:8080/oauth/authorize");
        details.setScope(Arrays.asList("read", "write"));
        return details;
    }

    @Bean
    public RequestInterceptor oauth2FeignRequestInterceptor(OAuth2ClientContext oAuth2ClientContext,
                                                            OAuth2ProtectedResourceDetails resource) {
        return new OAuth2FeignRequestInterceptor(oAuth2ClientContext, resource);
    }
}

在上述代码中,我们配置了客户端的关键组件:

  1. OAuth2RestTemplate: 用于与认证服务器进行交互,获取令牌等。

  2. OAuth2ProtectedResourceDetails: 包含了客户端的配置信息,如客户端ID、客户端密钥、授权服务器的地址等。

  3. RequestInterceptor: 用于Feign客户端,确保在使用Feign进行远程调用时,令牌被正确传递。

在实际应用中,你可能需要更复杂的配置,例如刷新令牌、处理令牌错误、自定义用户信息等。这个配置类提供了一个基础的配置,你可以根据具体需求进行扩展。

请注意,上述代码中的URL和客户端信息应该与你的认证服务器的配置相匹配。同时,你可以在应用的配置文件中定义这些属性,以便更好地管理和维护。

通过这个客户端配置,你的应用将能够通过OAuth2协议与认证服务器进行交互,获取令牌,并在需要时访问资源服务器上的受保护资源。这是SSO系统中客户端应用的关键配置。

总结

通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整的Java代码实现。实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。

希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1597077.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

提高大型语言模型 (LLM) 性能的四种数据清理技术

原文地址:four-data-cleaning-techniques-to-improve-large-language-model-llm-performance 2024 年 4 月 2 日 检索增强生成(RAG)过程因其增强对大语言模型(LLM)的理解、为它们提供上下文并帮助防止幻觉的潜力而受…

java-字符串

一、String概述 java.lang.String类代表字符串,java中所有字符串文字都是该类的对象 字符串的内容是不会发生变化的,它的对象在创建之后就不能被更改 二、创建String对象 1、直接赋值 语法: String 变量名内容; 2、使用构造…

Linux 磁盘存储挂载

fdisk -l 查看磁盘信息 mkfs.xfs /dev/vdc 格式化数据盘 mkdir vdev1 创建挂载点 mount /dev/vdc /vdev1 文件系统挂载点挂载 df -h 确认挂载成功 vi /etc/fstab 插入 /dev/vdc /vdev1 xfs defaults 0 0 /dev/vdc /vdev1 xfs defaults 0 0 保存就可以了 卸载实例&#…

韩顺平 | 零基础快速学Python(16) 文件处理

文件 输入与输出 输入:数据从数据源(文件)到程序(内存); 输出:数据从程序(内存)到数据源(文件)。 #mermaid-svg-06PG6JZq4jJMV1oH {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-sv…

SpringBoot源码解析-01

SpringBoot3详细版 一:SpringBoot引入: 1.1.什么是Springboot: SpringBoot 帮我们简单、快速地创建一个独立的、生产级别的 Spring 应用(说明:SpringBoot底层是Spring) 大多数 SpringBoot 应用只需要编…

洛谷 P9532 [YsOI2023] 前缀和

题目背景 Ysuperman 模板测试的试机题。 小心立秋,小心秋丽。 题目描述 立秋有一个长度为 n 的数组 a,所有数字都是正整数,并且除了其中第一个数字以外其它数字都等于前面所有数字的和。 例如,数组 [1,1,2,4,8,16] 就有可能是…

如何入行产品经理?

转产品经理第一点要先学基础理论知识,学了理论再去实践,转行,跳槽! 学理论比较好的就是去报NPDP的系统班,考后也会有面试指导课,跟职场晋升课程,对小白来说非常合适了~(可以去哔站找…

【程序分享】AACSD 程序: 用于晶体结构和缺陷的原子分析平台

分享一个 AACSD 程序: 用于晶体结构和缺陷的原子分析平台。 感谢论文的原作者! 主要内容 “我们开发了一个名为 AACSD(晶体结构和缺陷原子分析器)的高效命令行程序,用于对各种原子模拟代码生成的原子配置进行后期分析。该程序不…

利用栈删除数组中重复元素

先将数据排序(降序或升序) 建立一个“栈”,三种情况: 1.栈为空:压入一个元素 2.栈不为空 且 栈顶元素不等于将入栈元素:压入一个元素 3.栈不为空 且 栈顶元素等于将入栈元素:删除将压入元素…

循环双链表的操作

归纳编程学习的感悟, 记录奋斗路上的点滴, 希望能帮到一样刻苦的你! 如有不足欢迎指正! 共同学习交流! 🌎欢迎各位→点赞 👍 收藏⭐ 留言​📝 每一个裂缝都是为透出光而努力&#…

Redis消息队列-基于PubSub的消息队列

7.3 Redis消息队列-基于PubSub的消息队列 PubSub(发布订阅)是Redis2.0版本引入的消息传递模型。顾名思义,消费者可以订阅一个或多个channel,生产者向对应channel发送消息后,所有订阅者都能收到相关消息。 SUBSCRIBE …

mysql dump导出导入数据

前言 mysqldump是MySQL数据库中一个非常有用的命令行工具,用于备份和还原数据库。它可以将整个数据库或者特定的表导出为一个SQL文件,以便在需要时进行恢复或迁移。 使用mysqldump可以执行以下操作: 备份数据库:可以使用mysqld…

【Linux 驱动基础】设备树中断

# 前置知识 interrupts 文档 Specifying interrupt information for devices 1) Interrupt client nodes -------------------------Nodes that describe devices which generate interrupts must contain an "interrupts" property, an "interrupts-extende…

【数据库】表的增删改(CUD)

目录 一、insert 插入 1.单行插入: 2.多行插入: (1) insert into 插入: (2) replace into 替换插入: (3) 图片插入 : 二、update 修改 三、delete 删除 一、insert 插入 语法: INSERT INTO table_name…

ue4打包多模块

首先,每个模块,包含插件内的模块在内,都要用IMPLEMENT_MODULE(类名, 模块名)的方式,模块名就是带.build.cs的第一个单词。 build.cs里就说了这个模块该怎么用,用c#编写。 打包中要考虑到target.cs,将工程中相应的模块…

go语言并发实战——日志收集系统(一) 项目前言

-goroutine- 简介 go并发编程的练手项目 项目背景 一般来说业务系统都有自己的日志,当系统出现问题时,我们一般需要通过日志信息来定位与解决问题,当系统机器较少时我们可以登录服务器来查看,但是当系统机器较多时,我们通过服务器来查看日志的成本就会变得很大,…

leetcode刷题日记之全排列

题目描述 题目解释 这个题类似于之前做的某一道题,其实算法还是要追踪到树的深度遍历,相当于便利叶子节点的路径记录。不过递归的过程就相当于件数根据树进行遍历了。 代码如下 class Solution:def permute(self, nums: List[int]) -> List[List[i…

电动汽车原理视频笔记

看到了一个讲的不错的系列视频 新能源维修猿老罗的个人空间-新能源维修猿老罗个人主页-哔哩哔哩视频 道路千万条,安全第一条!新能源维修高压安全知识以及维修工具介绍_哔哩哔哩_bilibili 那么简单!电动汽车高压配电和控制_哔哩哔哩_bilibili…

EasyRecovery数据恢复软件2024百度云网盘下载链接

EasyRecovery数据恢复软件是一款功能强大的数据恢复工具,它能够帮助用户从各种存储设备中恢复丢失或误删除的文件数据。无论是由于意外删除、格式化、病毒攻击还是其他原因导致的数据丢失,EasyRecovery都能提供有效的解决方案。 该软件支持多种存储介质…

创维:在博鳌论坛 叩响世界之门

出走半生,归来仍是少年。 2024年4月8日,一个离开海南近半个世纪的“少年”回到琼海博鳌,“下一站,1000亿!”,他的承诺掷地有声。“1000亿”,意指创维集团在2025年前冲击千亿营收,这…