Smart-SSO 项目介绍与架构解析
项目地址: https://gitcode.com/openjoe/smart-sso Smart-SSO 是一个基于 SpringBoot 和 OAuth2 协议的单点登录与权限管理解决方案,旨在解决企业多系统认证痛点。项目通过轻量级实现支持分布式部署、自动续签、跨域单点登录等特性,提供统一认证授权能力。本文将从项目背景、核心功能、技术选型及架构设计三方面解析其设计理念与实现。
Smart-SSO 项目背景与目标
随着企业信息化建设的不断深入,多系统之间的用户认证与授权问题日益突出。传统的单系统登录方式已无法满足现代分布式应用的需求,用户需要在多个系统间频繁切换,重复输入账号密码,不仅降低了用户体验,还增加了安全风险。为了解决这一问题,单点登录(Single Sign-On, SSO)技术应运而生。Smart-SSO 正是在这一背景下诞生的轻量级、高可用的单点认证授权中心。
项目背景
-
多系统认证痛点
在传统架构中,每个系统独立维护一套用户认证机制,用户需要为每个系统单独登录。这不仅增加了用户的操作负担,还可能导致密码管理混乱,甚至引发安全隐患。 -
分布式架构的需求
现代企业应用逐渐向微服务架构演进,系统数量激增,传统的认证方式已无法满足高并发、高可用的需求。分布式环境下的统一认证与授权成为刚需。 -
安全性与便捷性的平衡
用户期望在保证安全的前提下,尽可能简化登录流程。OAuth2 协议因其灵活性和安全性,成为解决这一问题的理想选择。
项目目标
Smart-SSO 旨在为企业级应用提供一套轻量级、高可用的单点登录解决方案,具体目标如下:
-
统一认证与授权
通过 OAuth2 协议实现用户的一次登录,即可访问所有关联系统,提升用户体验。 -
支持分布式部署
服务端和客户端均支持基于 Redis 共享 Token 的多实例部署,满足高并发场景下的需求。 -
灵活的权限管理
基于 RBAC(基于角色的访问控制)模型,实现菜单和按钮级别的权限控制,满足复杂业务场景的需求。 -
自动续签与踢人下线
支持 Token 的自动续签功能,同时允许管理员主动终止用户会话,保障系统安全。 -
跨域与前后端分离支持
支持跨域单点登录,并适配前后端分离架构,确保现代技术栈的无缝集成。
技术选型与优势
| 特性 | 传统 Token | JWT | OAuth2 (Smart-SSO) |
|---|---|---|---|
| 单点登录 | 支持 | 支持 | 支持 |
| 单点退出 | 支持 | 较难实现 | 支持 |
| 踢人下线 | 支持 | 较难实现 | 支持 |
| 过期续签 | 较难实现 | 支持 | 支持 |
| 性能 | 一般 | 高 | 较好 |
| 安全性 | 一般 | 较好 | 高 |
| 复杂度 | 一般 | 较高 | 高 |
Smart-SSO 的优势
- 轻量级:基于 SpringBoot 和 OAuth2 协议的极简实现,易于集成和维护。
- 高可用:支持分布式部署,确保服务稳定性。
- 灵活性:适配多种业务场景,包括前后端分离和跨域需求。
Smart-SSO 核心功能概述
Smart-SSO 是一个基于 SpringBoot 和 OAuth2 协议的单点登录与权限管理解决方案。它通过轻量级的实现方式,提供了完整的单点登录(SSO)功能,并支持分布式部署、前后端分离、按钮级权限控制等高级特性。以下是对其核心功能的详细解析:
1. 单点登录与退出
Smart-SSO 实现了标准的 OAuth2 授权码模式,支持用户在多个应用间无缝切换登录状态。通过以下流程实现单点登录:
- 用户访问客户端应用时,被重定向到 Smart-SSO 服务端进行认证。
- 认证成功后,服务端颁发 Token,并返回客户端应用。
- 客户端应用通过 Token 获取用户信息,完成登录。
单点退出功能则通过服务端统一管理所有客户端的注销请求,确保用户在一个应用中退出后,所有关联应用的会话均被清除。
2. 自动续签与踢人下线
- 自动续签:通过 OAuth2 的
refreshToken机制,客户端可以在 Token 过期前自动续签,无需用户重新登录。 - 踢人下线:管理员可以强制终止指定用户的会话,服务端会通知所有客户端清除该用户的本地 Token。
3. 跨域支持与前后端分离
Smart-SSO 支持跨域请求,适用于不同域名下的应用集成。同时,它兼容前后端分离架构,无需依赖 Cookie 即可实现单点登录。
4. 按钮级权限控制
通过服务端定义的权限模型,可以实现对用户操作的精细控制。权限分为菜单和按钮两类,通过请求 URI 和方法匹配实现动态权限校验。
5. 分布式部署
Smart-SSO 支持基于 Redis 的分布式 Token 存储,确保多实例部署时 Token 的一致性。客户端和服务端均可通过 Redis 共享会话状态。
6. 轻量级与高可用
- 轻量级:核心功能基于 SpringBoot 和 OAuth2,代码简洁高效。
- 高可用:支持多实例部署和负载均衡,确保服务稳定性。
7. 技术选型
| 技术 | 用途 |
|---|---|
| SpringBoot | 容器与 MVC 框架 |
| OAuth2 | 认证与授权 |
| Redis | 分布式 Token 存储 |
| MyBatis-Plus | ORM 框架 |
| Freemarker | 模板引擎 |
通过以上功能,Smart-SSO 能够满足企业级应用的单点登录与权限管理需求,同时保持轻量级和高性能的特点。
Smart-SSO 技术选型与架构设计
Smart-SSO 是一个基于 SpringBoot 和 OAuth2 协议的单点登录与授权系统,旨在为企业级应用提供轻量级、高可用的认证与授权解决方案。以下将从技术选型和架构设计两个方面深入解析 Smart-SSO 的核心设计理念。
技术选型
Smart-SSO 的技术栈经过精心挑选,以满足高性能、高可用性和易扩展性的需求。以下是主要技术及其作用:
| 技术组件 | 版本 | 作用描述 |
|---|---|---|
| Spring Boot | 3.3.4 | 提供快速开发框架,简化配置,支持自动装配和依赖管理。 |
| Spring Security OAuth2 | 3.3.4 | 实现 OAuth2 协议,支持授权码模式、令牌刷新和单点退出功能。 |
| MyBatis-Plus | 3.5.7 | 增强型 ORM 框架,简化数据库操作,支持动态 SQL 和代码生成。 |
| Redis | 3.3.4 | 分布式 Token 存储,支持多实例部署场景下的会话共享。 |
| Freemarker | 3.3.4 | 模板引擎,用于动态生成服务端管理界面。 |
| HttpClient | 4.5.14 | 客户端与服务端之间的通信工具,用于授权码模式下的 Token 交换。 |
为什么选择 OAuth2?
OAuth2 协议在 Smart-SSO 中扮演了核心角色,其优势主要体现在以下几个方面:
- 安全性高:OAuth2 提供了多种授权模式(如授权码模式),适合企业级应用的安全需求。
- 支持单点退出:通过客户端注册注销回调地址,实现全局会话终止。
- 自动续签:利用
refreshToken机制,客户端可以自动续签过期的accessToken。 - 分布式支持:结合 Redis,OAuth2 可以轻松扩展到多实例部署场景。
以下是一个对比表格,展示了 OAuth2 与其他常见认证方式的优劣:
| 特性 | 传统 Token | JWT | OAuth2 |
|---|---|---|---|
| 单点登录支持 | 是 | 是 | 是 |
| 单点退出支持 | 是 | 否 | 是 |
| 踢人下线支持 | 是 | 否 | 是 |
| 自动续签支持 | 否 | 是 | 是 |
| 性能 | 一般 | 高 | 较好 |
| 安全性 | 一般 | 较好 | 高 |
| 实现复杂度 | 低 | 中 | 高 |
架构设计
Smart-SSO 的架构设计分为服务端和客户端两部分,采用模块化设计,便于扩展和维护。
服务端架构
服务端是 Smart-SSO 的核心,负责用户认证、权限管理和 Token 签发。其架构如下:
- SSOServer:提供认证和授权接口,处理客户端请求。
- TokenManager:管理 Token 的生命周期,包括存储、验证和刷新。
- PermissionManager:实现 RBAC 权限模型,控制用户对资源的访问。
客户端架构
客户端负责与用户交互,并通过服务端完成认证和权限校验。其架构如下:
- 用户:发起请求,访问客户端应用。
- 客户端:拦截请求,向服务端获取 Token。
- 服务端:验证用户身份并签发 Token。
分布式部署
Smart-SSO 支持多实例部署,通过 Redis 共享 Token 信息。以下是分布式场景下的交互流程:
- Redis:作为共享存储,确保所有实例能够访问相同的 Token 数据。
- 客户端与服务端:通过 Redis 同步 Token 状态,实现全局会话管理。
核心功能实现
单点登录流程
- 用户访问客户端应用。
- 客户端重定向到服务端登录页面。
- 用户输入凭据,服务端验证并签发 Token。
- 客户端获取 Token 并缓存,用户登录成功。
单点退出流程
- 用户在任意客户端发起退出请求。
- 服务端吊销 Token 并通知所有注册客户端。
- 客户端清除本地会话,完成全局退出。
自动续签机制
- 客户端检测到 Token 即将过期。
- 自动调用服务端的
refreshToken接口。 - 服务端生成新 Token 并更新有效期。
- 客户端更新本地 Token,用户无感知续签。
通过以上设计,Smart-SSO 实现了高效、安全的单点登录与授权功能,适用于各类企业级应用场景。
Smart-SSO 项目结构与模块划分
Smart-SSO 是一个基于 SpringBoot 和 OAuth2 的单点登录与权限管理系统,其项目结构清晰,模块划分明确,便于开发者理解和使用。以下是对项目结构与模块的详细解析。
项目整体结构
Smart-SSO 的项目结构采用多模块设计,主要分为以下几个核心模块:
smart-sso-server:单点登录与权限管理的服务端模块,负责用户认证、授权、Token 管理等功能。smart-sso-starter:依赖装配模块,包含客户端和服务端的核心依赖包,支持分布式部署。smart-sso-demo和smart-sso-demo-h5:客户端示例模块,分别演示传统 Web 应用和前后端分离场景下的集成方式。
模块详细划分
1. smart-sso-server 模块
服务端模块是 Smart-SSO 的核心,主要负责用户认证、权限管理、Token 生成与校验等功能。其代码结构如下:
- 控制器层:包含
SSOLoginController、SSOLogoutController等,处理用户登录、退出、授权等请求。 - 服务层:如
UserService、TokenManager,实现业务逻辑和 Token 管理。 - 数据层:通过 MyBatis-Plus 与数据库交互,管理用户、角色、权限等数据。
2. smart-sso-starter 模块
依赖装配模块分为多个子模块,支持客户端和服务端的灵活配置:
smart-sso-starter-base:提供基础工具类和通用实体,如Token、TokenUser。smart-sso-starter-client:客户端依赖包,包含TokenStorage、PermissionFilter等,用于 Token 存储和权限校验。smart-sso-starter-server:服务端依赖包,提供TokenManager、CodeManager等核心功能。
3. 示例模块
示例模块展示了如何集成 Smart-SSO:
smart-sso-demo:传统 Web 应用的集成示例。smart-sso-demo-h5:前后端分离场景的集成示例。
关键组件与功能
| 组件 | 功能描述 |
|---|---|
TokenManager | 管理 Token 的生命周期,包括生成、校验和刷新。 |
CodeManager | 管理授权码,用于 OAuth2 的授权码模式。 |
PermissionFilter | 客户端权限过滤器,校验用户请求是否具备访问权限。 |
UserService | 用户服务,提供用户查询、密码重置等功能。 |
总结
Smart-SSO 通过清晰的模块划分和组件设计,实现了单点登录与权限管理的高效集成。开发者可以根据需求灵活选择模块,快速构建安全的认证授权系统。
总结
Smart-SSO 作为轻量级单点登录解决方案,通过 OAuth2 协议与分布式架构设计,有效解决了企业多系统认证的复杂性问题。其模块化设计(服务端/客户端/示例模块)和核心组件(TokenManager/PermissionFilter 等)的组合,既保障了安全性又兼顾易用性,适用于传统 Web 和前后端分离场景,是企业身份认证管理的优选方案。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
