【架构设计】单点登录实现技术方案

1 基本介绍

1.1 什么是单点登录

单点登录（Single Sign-On，简称SSO）是一种身份认证的解决方案，它允许用户只需一次登录即可访问多个应用程序或系统。在一个典型的SSO系统中，用户只需通过一次身份认证，就可以获得访问多个应用程序的授权，而不需要在每个应用程序中单独进行身份验证。

1.2 单点登录的原理

单点登录（Single Sign-On，简称SSO）的实现原理通常涉及到以下几个步骤：

1.用户登录认证：用户在访问第一个应用程序时，需要进行身份验证并登录系统。这个过程可以使用任何一种常规的认证方式，比如用户名和密码、二次验证等等。

2.生成令牌：认证通过后，系统会生成一个安全令牌（Token），将它存储在用户的浏览器中，同时将该令牌的信息存储在SSO服务器中。

3.传递令牌：当用户访问其他应用程序时，应用程序将向SSO服务器发送令牌验证请求。SSO服务器会检查浏览器中的令牌信息，并确认用户的身份。

4.验证身份：如果令牌有效且用户已经进行过身份验证，SSO服务器会向应用程序返回一个授权令牌，授权用户访问该应用程序。

5.访问应用程序：应用程序会使用授权令牌来验证用户的身份，并允许用户访问应用程序的资源。

需要注意的是，SSO服务器需要能够识别和验证来自不同应用程序的令牌。为了实现这一点，通常使用标准的认证协议，如OAuth、OpenID Connect等，这些协议为应用程序提供了一种标准的方式来与SSO服务器交互。此外，SSO服务器还需要实现一些安全机制来防止令牌被盗用或伪造，如Token加密、过期时间等等。

1.3 单点登录实现方案

单点登录的实现方式通常有以下几种：

基于JWT实现同域下的单点登录

基于Cookie的SSO

基于Token的SSO

基于SAML的SSO

基于OpenID Connect的SSO

CAS（Central Authentication Service）

需要注意的是，不同的SSO实现方式有不同的优缺点，选择适合自己应用场景的实现方式非常重要。

此外，SSO系统的实现需要考虑安全性和可靠性问题，如令牌加密、过期时间、安全断言的验证等等。

今天详细讲解一下：

• 基于JWT实现同域下的单点登录
• CAS（Central Authentication Service）

2 方案介绍

2.1 基于JWT实现同域下的单点登录

同域单点登录（SSO）是一种允许用户在一个网站登录后，在访问其他同域网站时无需再次登录的技术。下面介绍一种基于基于JWT的单点登录的Token同域单点登录实现方案

2.1.1 JWT介绍

JSON Web Token（JWT）是一种轻量级的、基于标准JSON格式的身份验证和授权机制。

在SSO方案中，可以使用JWT作为Token，在JWT中存储用户信息和过期时间等信息。

JWT的签名和加密机制可以保证Token的安全性，防止Token被篡改和伪造。在每次访问其他同域网站时，前端将JWT发送给后端进行验证和解析，以获取用户信息和过期时间等信息。

2.1.2 详细步骤介绍

下面是基于JWT实现同域下的单点登录的详细步骤：

1.用户登录应用程序A，应用程序A将用户的身份信息打包成JWT，并设置有效期和其他必要的信息。JWT的生成可以使用各种JWT库，如jsonwebtoken。

2.应用程序A将JWT存储在cookie或localStorage中，并将其发送给浏览器。

3.用户访问应用程序B，应用程序B将检查cookie或localStorage中是否存在有效的JWT。

4.如果JWT存在且未过期，则应用程序B使用JWT库对JWT进行解码和验证，并从中获取用户的身份信息。

5.如果JWT验证成功，则应用程序B授权用户访问应用程序B。

6.如果JWT不存在或已过期，则应用程序B要求用户登录。

7.在用户注销或会话过期时，应用程序A和B都需要清除JWT。

需要注意以下几点：

• 应用程序A和B必须使用相同的JWT密钥，以确保JWT在不同的应用程序之间是可验证的。
• 应用程序应该使用HTTPS协议来保护JWT的传输，以避免中间人攻击。
• 应用程序应该设置JWT的有效期适当，以避免安全漏洞和用户体验之间的矛盾。
• 应用程序应该定期更改JWT密钥，以增强安全性。

总之，基于JWT实现同域下的单点登录可以提高用户体验和应用程序的安全性，但需要注意确保JWT的安全性和可靠性。

2.1.3 图解步骤

2.1.4 JWT代码示例

不能直接放项目代码，所以放了示例，具体的规则，根据你的项目去设置，这个只是个示例。

当使用Java实现JWT时，可以使用Java JWT库（Java JWT Library）来生成和验证JWT。

下面是一个使用Java JWT库创建和验证JWT的示例代码：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtils {
    private static final String SECRET_KEY = "your-secret-key"; // 密钥，用于签名和验证JWT
    private static final long EXPIRATION_TIME = 3600_000; // 有效期，单位为毫秒，这里设置为1小时
    public static String createJwt(String subject) {
        Date now = new Date();
        Date expiration = new Date(now.getTime() + EXPIRATION_TIME);
        return Jwts.builder()
                .setSubject(subject)
                .setIssuedAt(now)
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }
    public static String verifyJwt(String jwt) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(jwt)
                    .getBody();
            return claims.getSubject();
        } catch (Exception e) {
            // JWT验证失败，可能是过期或伪造
            return null;
        }
    }
}

在上述示例代码中，createJwt方法用于生成JWT，包括设置sub（subject）、iat（issued at）和exp（expiration time）声明，并使用HS256算法和密钥对JWT进行签名。verifyJwt方法用于验证JWT，并从中提取sub声明。

以下是使用示例：

public class Example {
    public static void main(String[] args) {
        String jwt = JwtUtils.createJwt("123");
        System.out.println(jwt);
        String subject = JwtUtils.verifyJwt(jwt);
        System.out.println(subject);
    }
}

在上述示例中，createJwt方法生成JWT，并将其打印到控制台。verifyJwt方法验证JWT，并将其中的sub声明提取出来打印到控制台。

需要注意的是，在实际应用中，应该将密钥和有效期等敏感信息存储在安全的地方，如配置文件或环境变量中，并使用安全加密方式进行存储和传输。

2.1.5 拓展

将Cookie的域设置为顶域实现方式

1 前端

将Cookie的域设置为顶域（即一级域名），需要在设置Cookie时将domain属性设置为顶域名，例如，如果当前网站的域名为example.com，那么可以将domain属性设置为".example.com"，表示该Cookie在该域名及其所有子域名下都有效。

在使用Node.js的Express框架时，可以通过设置res.cookie()方法的domain选项来设置Cookie的域，例如：

res.cookie('mycookie', 'myvalue', { domain: '.example.com' });

在上面的例子中，domain选项被设置为".example.com"，表示该Cookie在example.com及其所有子域名下都有效。

2 后端

在Java中，可以通过设置Cookie的domain属性来将Cookie的域设置为顶域（即一级域名）。

假设当前网站的域名为example.com，如果要将Cookie的域设置为该域名及其所有子域名下都有效，可以通过以下方式设置：

Cookie cookie = new Cookie("mycookie", "myvalue"); cookie.setDomain(".example.com"); // 将域设置为".example.com" response.addCookie(cookie); // 将Cookie添加到HTTP响应中

在上面的代码中，使用Cookie类创建了一个名为"mycookie"，值为"myvalue"的Cookie，并通过setDomain()方法将其域设置为".example.com"。

然后，将Cookie添加到HTTP响应中，即可将该Cookie发送给客户端。

2.2 CAS实现单点登录：

CAS是一个开源的单点登录协议，它使用Ticket Granting Ticket（TGT）和Service Ticket（ST）来实现单点登录。用户登录后，CAS服务器会生成一个TGT，并将其存储在用户的浏览器中。当用户访问其他应用程序时，应用程序会向CAS服务器发送一个ST验证请求。CAS服务器会检查TGT和ST，并确认用户的身份后，向应用程序发回授权信息。

下面是使用CAS实现单点登录的详细步骤：

1. 部署CAS服务器
2. 配置CAS客户端
3. 用户登录
4. 验证票据
5. 获取服务票据
6. 验证服务票据

1 部署CAS服务器：

首先需要在服务器上部署CAS服务器，并配置其参数，如登录页面、认证方式、客户端等。可以使用Maven或手动下载CAS Server WAR包，然后将其部署到Web容器中，如Tomcat或Jetty。在部署之前，需要先配置CAS服务器的参数，如CAS服务名称、CAS服务地址、登录页面、认证方式等。在完成配置后，启动Web容器，并访问CAS登录页面，以确保CAS服务器能够正常工作。

2 配置CAS客户端：

对于需要实现单点登录的应用程序，需要将其配置为CAS客户端，并在其上实现CAS协议。可以使用CAS客户端库，如Jasig CAS Client、Spring Security CAS等，也可以手动实现CAS协议。在CAS客户端中，需要指定CAS服务器的地址和协议，并设置CAS客户端的参数，如服务名称、退出URL等。为了实现单点登录，所有需要实现单点登录的应用程序都需要配置为CAS客户端。

3 用户登录：

当用户访问CAS客户端时，CAS客户端会将用户重定向到CAS服务器的登录页面，要求用户输入用户名和密码进行身份验证。用户输入用户名和密码后，CAS服务器根据配置的认证方式进行身份验证。如果身份验证成功，则CAS服务器生成一个票据（Ticket），并将其返回给CAS客户端。

4 验证票据：

CAS客户端收到票据后，将其发送给CAS服务器进行验证。如果票据有效，则CAS服务器会生成一个票据授权（Ticket Granting Ticket，TGT），并将其返回给CAS客户端。TGT是CAS服务器生成的一个唯一标识符，用于标识用户的身份信息。

5 获取服务票据：

CAS客户端使用TGT来获取服务票据（Service Ticket，ST），并将其发送给CAS服务器。服务票据包含了用户的身份信息，可以用于在应用程序中进行身份验证。CAS客户端使用服务名称（service）作为参数请求ST，CAS服务器根据TGT生成ST，并将其返回给CAS客户端。

6 验证服务票据：

应用程序收到服务票据后，将其发送给CAS客户端进行验证。如果服务票据有效，则CAS客户端会将其中的用户身份信息提取出来，并将其传递给应用程序。应用程序可以根据身份信息进行用户授权和访问控制。

优缺点

优点：

1. 用户体验好：使用CAS实现单点登录可以提高用户体验，用户只需要登录一次就可以访问多个应用程序，不需要重复输入用户名和密码。
   
2. 安全性高：CAS使用票据（Ticket）来验证用户身份，票据只能在CAS服务器和客户端之间传递，防止了密码被截获的风险。此外，CAS支持多种认证方式，如LDAP、数据库、Active Directory等，可以根据需要选择适合自己的认证方式。
   
3. 可扩展性好：CAS支持多种客户端库和API，可以轻松地与其他应用程序集成。此外，CAS还支持多种存储方式，如内存、数据库、LDAP等，可以根据需要进行扩展。
   
4. 开源免费：CAS是一个开源项目，可以免费使用和修改，没有额外的授权费用。
   

缺点：

1. 配置和实现复杂：CAS的配置和实现较为复杂，需要对CAS服务器和客户端进行配置和开发，需要一定的技术和经验。
   
2. 单点故障：由于CAS是一个中心化的单点登录服务，如果CAS服务器出现故障，所有的应用程序都将无法访问，可能会影响业务运行。
   
3. 性能瓶颈：由于所有的应用程序都需要通过CAS服务器进行身份验证，如果请求量过大，可能会导致CAS服务器性能瓶颈。
   

综上所述，CAS实现单点登录具有良好的用户体验和安全性，但需要注意配置和实现细节，同时需要解决单点故障和性能瓶颈等问题。

小结

需要注意，CAS服务器和客户端之间的通信应该使用HTTPS协议进行加密，以保证安全性。此外，CAS服务器和客户端之间的通信需要使用相同的加密密钥，以确保票据的安全性。

总之，使用CAS实现单点登录可以提高用户体验和应用程序的安全性，但需要注意配置和实现细节。

3 总结

总结一下单点登录要实现的内容：

• 单点登录（SSO系统）是保障各业务系统的用户资源的安全 。
  
• 各个业务系统获得的信息是，这个用户能不能访问我的资源。
  
• 单点登录，资源都在各个业务系统这边，不在SSO那一方。
  
• 用户在给SSO服务器提供了用户名密码后，作为业务系统并不知道这件事。 SSO随便给业务系统一个ST，那么业务系统是不能确定这个ST是用户伪造的，还是真的有效，所以网关要进行JWT校验，从而保证token的有效性