一個注解搞定Spring Security基于Oauth2的SSO單點登錄功能

更新時間：2021年09月28日 09:00:26 作者：zlt2000

本文主要介紹同域和跨域兩種不同場景單點登錄的實現(xiàn)原理，并使用 Spring Security 來實現(xiàn)一個最簡單的跨域 SSO客戶端。對Spring Security基于Oauth2的SSO單點登錄功能感興趣的朋友一起看看吧

一、說明

單點登錄顧名思義就是在多個應用系統(tǒng)中，只需要登錄一次，就可以訪問其他相互信任的應用系統(tǒng)，免除多次登錄的煩惱。本文主要介紹 同域 和 跨域 兩種不同場景單點登錄的實現(xiàn)原理，并使用 Spring Security 來實現(xiàn)一個最簡單的跨域 SSO客戶端 。

二、原理說明

單點登錄主流都是基于共享 cookie 來實現(xiàn)的，下面分別介紹 同域 和 跨域 下的兩種場景具體怎樣實現(xiàn)共享 cookie 的

2.1. 同域單點登錄

適用場景：都是企業(yè)自己的系統(tǒng)，所有系統(tǒng)都使用同一個一級域名通過不同的二級域名來區(qū)分。

舉個例子：公司有一個一級域名為 zlt.com ，我們有三個系統(tǒng)分別是：門戶系統(tǒng)(sso.zlt.com)、應用1(app1.zlt.com)和應用2(app2.zlt.com)，需要實現(xiàn)系統(tǒng)之間的單點登錄，實現(xiàn)架構(gòu)如下：

核心原理：

門戶系統(tǒng)設置 Cookie 的 domain 為一級域名也就是 zlt.com，這樣就可以共享門戶的 Cookie 給所有的使用該域名(xxx.zlt.com)的系統(tǒng)
使用 Spring Session 等技術讓所有系統(tǒng)共享 Session
這樣只要門戶系統(tǒng)登錄之后無論跳轉(zhuǎn)應用1或者應用2，都能通過門戶 Cookie 中的 sessionId 讀取到 Session 中的登錄信息實現(xiàn)單點登錄

2.2. 跨域單點登錄

單點登錄之間的系統(tǒng)域名不一樣，例如第三方系統(tǒng)。由于域名不一樣不能共享 Cookie 了，這樣就需要通過一個單獨的授權(quán)服務(UAA)來做統(tǒng)一登錄，并基于共享UAA的 Cookie 來實現(xiàn)單點登錄。

舉個例子：有兩個系統(tǒng)分別是：應用1(webApp.com)和應用2(zlt.com)需要實現(xiàn)單點登錄，另外有一個UAA授權(quán)中心(sso.com)，實現(xiàn)架構(gòu)如下：

核心原理：

訪問系統(tǒng)1判斷未登錄，則跳轉(zhuǎn)到UAA系統(tǒng)請求授權(quán)
在UAA系統(tǒng)域名 sso.com 下的登錄地址中輸入用戶名/密碼完成
登錄登錄成功后UAA系統(tǒng)把登錄信息保存到 Session 中，并在瀏覽器寫入域為 sso.com 的 Cookie
訪問系統(tǒng)2判斷未登錄，則跳轉(zhuǎn)到UAA系統(tǒng)請求授權(quán)
由于是跳轉(zhuǎn)到UAA系統(tǒng)的域名 sso.com 下，所以能通過瀏覽器中UAA的 Cookie 讀取到 Session 中之前的登錄信息完成單點登錄