背景介绍
我们现在开发WEB应用最流行的框架就是SpringBoot,开发好的应用程序经常要接入企业内部的SSO系统,因为现在企业里面基本上都有自己的一套统一认证服务,企业开发的各个业务系统都对接这个统一认证服务,那么就可以实现企业内部的单点登录了。
统一认证服务经常也叫做SSO,有些SSO是很久以前开发的比较老旧,接入的方式可能也是利用浏览器的Session和Cookie来实现。但是现在流行前后端分离,并且随着JWT的发展,前后端的交互更多喜欢采用JWT方式进行认证,JWT更加灵活,所以很受欢迎。
那么,有没有办法在对接老旧的基于Session和Cookie方式的单点登录时,可以以更优雅的方式采用JWT方式进行实现呢?答案是肯定的。
本文前端使用front表示,后端使用back表示,统一认证服务使用sso表示。
设计思想
登录前的时序图
front
back
sso
前端发起一个请求(不带JWT)
自定义请求头URL_REFER:当前页面
https://back/helo-world
back获取当前会话的coSessionId
request.getSession(true).getId()
back通过coSessionId获取用户信息
getSsoUser()
返回null
响应标准302,请求头Location
sendRedirect(“https://sso/login.jsp”)
前端根据302重定向到Location地址
location.href="https://sso/login.jsp"
输入登录账号、密码进行登录
login()
登录成功回调back
https://back/surl?ssoSessionId=xxx
通过coSessionId获取用户信息
getSsoUser(coSessionId)
返回SsoUser
生成JWT
createJWT(coSessionId, ssoSessionId)
响应302,重定向到用户跳转登录前的页面
自定义请求头ACCESS_TOKEN: JWT
sendRedirect(URL_REFER)
location.href=URL_REFER
front
back
sso
登录后的时序图
front
back
sso
请求头Authentication: JWT
https://back/hello-world
校验JWT,得到coSessionId和ssoSessionId
validateJwt()
通过coSessionId获取用户信息
getSsoUser(coSessionId)
返回SsoUser
执行hello-world业务逻辑
helloWorld()
200 {"result": "hello,world"}
front
back
sso
back内部认证逻辑的设计
身份认证主要由2个Filter完成,一个处理登录逻辑的LoginFilter,一个处理JWT校验的JwtFilter,接下来分别讲讲两个Filter的内部流程设计
LoginFilter内部流程
sso
Y
N
Y
N
Y
N
Y
N
Y
N
Y
N
N
Y
当前会话已经登录?
重定向sso LoginServlet
end
回调back
登记coSeesionId有效
重定向登录页面
登录成功?
用户输入账号密码登录
回调back:带ssoSessionId
登记coSeesionId有效
start
请求path需要认证?
当前会话已经认证?
filterChain
请求带JWT?
获取当前会话coSessionId
请求带ssoSessionId
使用coSessionid+ssoSessionId获取SsoUser
使用coSession获取SsoUser
SsoUser是否为空
生成JWT
请求头或url参数获取URL_REFER
重定向URL_REFER:响应头带JWT
JwtFilter内部流程
sso
Y
N
Y
N
N
Y
N
Y
Y
N
Y
N
N
Y
当前会话已经登录?
重定向sso LoginServlet
end
回调back
登记coSeesionId有效
重定向登录页面
登录成功?
用户输入账号密码登录
回调back:带ssoSessionId
登记coSeesionId有效
start
请求path需要认证?
当前会话已经认证?
filterChain
请求带JWT?
响应403
校验JWT
JWT有效?
从JWT获取coSessionid+ssoSessionId
使用coSessionid+ssoSessionId获取SsoUser
SsoUser是否为空
context设置身份凭证
filter流程说明
- 前端所有请求设置自定义请求头URL_REFER,放前端当前所在页面,这个值用于重定向sso登录页面后,登录成功跳转用的。
- 当back请求sso获取SsoUser时,相当于sso对当前请求的一次合法性校验
- 如果sso校验通过,则返回SsoUser
- 否则,重定向到登录页面
- 登录成功后,back生成JWT,放入响应头中
- 后续前端请求带上JWT,back校验JWT
- JWT校验通过后,得到sso需要的凭证
- 然后重复第2步
权限校验
上面设计的两个Filter解决了前端的身份认证的问题,剩下还有一个权限校验的问题。 可以考虑使用Shiro框架或者Spring Security框架,既然我们是用SpringBoot开发,建议使用Spring Security,与SpringBoot衔接的可以更加的无缝。由于本文主要目的是针对老旧sso对接的问题进行设计,因此对权限的处理就不在这里展开叙述了,只简单的描述下基本的流程。
Y
N
start
SecurityFilter
有权限?
Controller
响应403
总结
第一次使用Markdown语法画时序图和流程图,花了整整一天的时间,在使用Markdown画图的过程中,总结了一些Markdown画图语法的使用心得
- 要善于使用subgraph
- 每一个subgraph相当于一个抽象,不仅可以帮助我们归纳整理不同模块之间的关系,对图形源码的可读性更高,维护成本更低
- subgraph在使用的时候,本人的最佳实践是,给每一个subgraph取一个名字,比如sso,然后在subgraph体内设置一个起点和一个终点,并分别取名sso.start和sso.over,这样可以对subgraph形成一个闭环,外部引用的时候只需要对接sso.start和sso.over即可。由于设计思考的过程,会反复修改,当subgraph内部发生任何修改,对外部没有任何影响,达到了高内聚低偶合的目的
- Markdown的flowchart语法不能使用end做为node名字,及时end(xxx)也不行,因为在flowchart语法里面end是一个关键字,所以本文画图源码使用了over命名代替end也就是这个原因
Markdown还能画状态图、甘特图等更多图形,以后有机会再单独写一篇关于Markdown画图的文章,并把自己在画图过程中的心得分享给大家。
|