Java实现SSO单点登录方案

原创 已于 2025-06-20 17:39:57 修改 · 1.8k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #微服务

于 2025-06-20 17:38:48 首次发布
一、系统架构设计
1. 架构图与组件关系
1.请求访问
2.路由转发
3.集成SDK
4.本地验证
5.远程验证
6.存储状态
7.配置同步
8.用户数据
User
API Gateway
业务系统集群
SSO Client SDK
JWT校验
SSO认证中心
Redis集群
配置中心
用户数据库
2. 核心组件说明
组件技术栈功能描述
API GatewaySpring Cloud Gateway统一入口、路由分发、跨域处理、请求过滤
SSO ServerSpring Boot + JWT用户认证、Token签发、全局会话管理
SSO Client SDKSpring Boot Starter自动配置、Token解析、权限验证、与SSO Server通信
配置中心Nacos统一管理JWT密钥、Token有效期等配置
缓存层Redis存储Token黑名单、用户会话状态
二、核心流程时序图
1. 统一登录流程
User BizSystem SSOClient SSOServer Redis MySQL 访问/protected 检查Cookie/Header中的Token 返回用户上下文 返回资源 重定向到SSO登录页(302) GET /login/page 返回登录表单 POST 提交账号密码 验证用户凭证 返回验证结果 生成JWT Token 记录会话状态(HSET user:${username}) 重定向回原系统(携带Token) 携带Token访问 验证Token有效性 可选远程验证 验证结果 用户上下文 返回请求资源 alt [验证成功] alt [Token有效] [Token无效/过期] User BizSystem SSOClient SSOServer Redis MySQL
2. Token验证流程
BizSystem SSOClient SSOServer Redis 传递Token 本地校验: 1. Base64解码 2. 验证签名 3. 检查有效期 检查本地黑名单(token_id) 是否存在 返回用户信息 返回401未授权 alt [未在黑名单] [在黑名单] 发起远程验证请求 检查全局黑名单 验证Token有效性 返回验证结果 返回验证结果 alt [本地校验通过] [本地校验失败] BizSystem SSOClient SSOServer Redis
三、代码实现详解
1. SSO Server核心模块
Token签发服务(含自动刷新)
/**
 * JWT Token服务(支持自动续期)
 */
@Service
public class TokenService {
    // RSA密钥对(2048位)
    @Value("${jwt.private-key}")
    private String privateKey;
    
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    /**
     * 生成访问令牌(Access Token)
     */
    public String generateAccessToken(UserDetails user) {
        RSAPrivateKey rsaPrivateKey = loadPrivateKey(privateKey);
        
        return Jwts.builder()
            .setHeaderParam("typ", "JWT")
            .setIssuer("SSO-CENTER")
            .setSubject(user.getUsername())
            .claim("authorities", user.getAuthorities())
            .setIssuedAt(new Date())
            .setExpiration(new Date(System.currentTimeMillis() + 3600_000)) // 1小时
            .signWith(rsaPrivateKey, SignatureAlgorithm.RS256)
            .compact();
    }

    /**
     * 验证Token并解析声明
     */
    public Claims validateToken(String token) {
        try {
            RSAPublicKey publicKey = loadPublicKey();
            
            return Jwts.parserBuilder()
                    .setSigningKey(publicKey)
                    .build()
                    .parseClaimsJws(token)
                    .getBody();
        } catch (JwtException e) {
            throw new InvalidTokenException("Token验证失败", e);
        }
    }

    /**
     * 刷新Token(双Token方案)
     */
    public TokenPair refreshToken(String refreshToken) {
        Claims claims = validateToken(refreshToken);
        if (!"REFRESH".equals(claims.get("type"))) {
            throw new InvalidTokenException("非法的Refresh Token");
        }
        
        // 生成新Token对
        UserDetails user = userService.loadUser(claims.getSubject());
        return new TokenPair(
            generateAccessToken(user),
            generateRefreshToken(user)
        );
    }
}
登录控制器
@RestController
@RequestMapping("/auth")
public class AuthController {
    @Autowired
    private TokenService tokenService;
    
    @PostMapping("/login")
    public ResponseEntity<AuthResponse> login(@Valid @RequestBody LoginRequest request) {
        // 1. 身份认证
        Authentication authentication = authenticationManager.authenticate(
            new UsernamePasswordAuthenticationToken(
                request.getUsername(),
                request.getPassword()
            )
        );
        
        // 2. 生成双Token
        UserDetails user = (UserDetails) authentication.getPrincipal();
        String accessToken = tokenService.generateAccessToken(user);
        String refreshToken = tokenService.generateRefreshToken(user);
        
        // 3. 记录登录状态
        redisTemplate.opsForHash().put(
            "active_sessions",
            user.getUsername(),
            accessToken
        );
        
        return ResponseEntity.ok()
            .header(HttpHeaders.AUTHORIZATION, accessToken)
            .body(new AuthResponse(accessToken, refreshToken));
    }
}
2. SSO Client SDK实现
自动配置类
@Configuration
@AutoConfigureOrder(Ordered.HIGHEST_PRECEDENCE)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
@EnableConfigurationProperties(SsoClientProperties.class)
public class SsoAutoConfiguration {

    @Bean
    @ConditionalOnMissingBean
    public TokenValidator tokenValidator(SsoClientProperties properties) {
        return new DefaultTokenValidator(
            resolvePublicKey(properties.getPublicKey()),
            properties.getSsoServerUrl()
        );
    }

    @Bean
    public FilterRegistrationBean<SsoFilter> ssoFilter() {
        FilterRegistrationBean<SsoFilter> registration = new FilterRegistrationBean<>();
        registration.setFilter(new SsoFilter());
        registration.addUrlPatterns("/*");
        registration.setOrder(Ordered.HIGHEST_PRECEDENCE + 1);
        return registration;
    }
}
Token验证过滤器
public class SsoFilter extends OncePerRequestFilter {
    private static final String AUTH_HEADER = "Authorization";
    
    @Autowired
    private TokenValidator tokenValidator;

    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                    HttpServletResponse response,
                                    FilterChain chain) throws IOException, ServletException {
        String token = resolveToken(request);
        if (StringUtils.hasText(token)) {
            try {
                Authentication authentication = tokenValidator.validate(token);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            } catch (InvalidTokenException e) {
                response.sendError(HttpStatus.UNAUTHORIZED.value(), "无效的访问凭证");
                return;
            }
        }
        
        chain.doFilter(request, response);
    }

    private String resolveToken(HttpServletRequest request) {
        String bearerToken = request.getHeader(AUTH_HEADER);
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}
四、跨域解决方案
1. 后端全局配置(Gateway)
spring:
  cloud:
    gateway:
      globalcors:
        cors-configurations:
          '[/**]':
            allowed-origins: "https://*.company.com"
            allowed-methods: 
              - GET
              - POST
              - PUT
              - DELETE
			  - OPTIONS # 预检请求
            allowed-headers: "*"
            allow-credentials: true
            exposed-headers: 
              - Authorization
              - X-Refresh-Token
            max-age: 7200
2. 前端统一封装
// axios实例配置
const service = axios.create({
  baseURL: process.env.VUE_APP_BASE_API,
  timeout: 10000,
  withCredentials: true // 跨域携带cookie
})

// 请求拦截器
service.interceptors.request.use(config => {
  if (store.getters.token) {
    config.headers['Authorization'] = 'Bearer ' + store.getters.token
  }
  return config
})

// 响应拦截器(处理401)
service.interceptors.response.use(
  response => response,
  error => {
    if (error.response.status === 401) {
      // 触发Token刷新流程
      return refreshToken().then(() => {
        return service(error.config)
      })
    }
    return Promise.reject(error)
  }
)
五、会话生命周期管理
1. Token自动续期流程
Client Gateway BizSystem SSOServer Redis 请求携带过期Token 返回401 Unauthorized 使用Refresh Token请求新Token 验证Refresh Token有效性 返回新Token对 重试请求携带新Token 返回正常响应 返回401触发重新登录 alt [验证通过] [验证失败] Client Gateway BizSystem SSOServer Redis
2. 全局登出实现

MQ+双黑名单实现登出机制

@PostMapping("/logout")
public ResponseEntity<Void> logout(@RequestHeader("Authorization") String token) {
    // 解析Token获取关键信息
    Claims claims = tokenService.validateToken(token.replace("Bearer ", ""));
    String username = claims.getSubject();
    String tokenId = (String) claims.get("jti");
    
    // 记录黑名单(有效期比Token稍长)
    redisTemplate.opsForValue().set(
        "token_blacklist:" + tokenId, 
        "revoked", 
        7200, TimeUnit.SECONDS
    );
    
    // 清除用户会话记录
    redisTemplate.opsForHash().delete("active_sessions", username);
    
    // 通知所有子系统(WebSocket广播)
    messagingTemplate.convertAndSend("/topic/logout", tokenId);
    
    return ResponseEntity.noContent().build();
}
孜然兄
关注
Java实现单点登录SSO)详解
勤劳的小琪
04-24 6817
单点登录(Single Sign-On,简称SSO)是目前比较流行的企业业务整合的解决方案之一,它的主要功能是:在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录实现机制是:当用户第一次访问应用系统1的时候,因为还没有登录,所以会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行验证,如果通过验证,则应该返回给用户一个认证的凭据——ticket;
[Java 基于SSO实现单点登录]
汤圆的博客
06-14 2649
顺风顺水
Java实现单点登录
01-12
java实现单点登录授权,认证,机制。值得一看的分享
SSO单点登录Java实现实例
热门推荐
程序员小强的博客
02-05 2万+
随着公司系统的增加,每次新建一个项目是否还在做登录功能呢,还在做重复的工作?统一登录SSO你值得拥有。本文主要讲解,基于令牌token方式实现,SpringBoot工程下的SSO单点登录整合代码实例Demo,文末附源码地址。 1.环境准备 SSO认证中心服务( www.mysso.com) 客户端1(www.myclient1.com) 客户端2(www.myclient2.com) 由于是Demo实例,这里若有要访问-需要修改一下本机host,添加如下映射 127.0.0.1 www.mysso.
Java实现SSO单点登录
逍遥飞鹤的专栏
09-02 1万+
原理 在网上找了很多SSO 框架,不是太复杂就是侵入式的,比如CAS,josso,后为想还是自己写一个吧,反正不难。以下记录一下,希望对大家有用. 1:产生背景 想像一下,一家企业从无信息化系统开始着手实现自己公司的信息化,假如这家公司有自己的IT团队,第一个系统公司一般都会先上OA系统,他的基本结构如下: 系统上线后运行很正常,公司从企业信息化中尝到甜头,想接
Java 单点登录 (SSO) 全流程实践指南
最新发布
weixin_58316280的博客
02-28 1461
协议选择:互联网应用首选OAuth2+JWT,企业内网考虑SAML令牌管理:设置合理有效期(推荐:访问令牌2小时,刷新令牌30天)监控指标:重点关注认证成功率、平均响应时间、并发会话数灾备方案:部署多活认证中心,实现自动故障转移合规要求:遵循GDPR等数据保护法规,记录完整审计日志推荐工具链压力测试:JMeter。
Java中的单点登录SSO)解决方案
微赚开发者技术分享博客
07-04 574
单点登录(Single Sign-On,简称SSO)是一种身份验证服务,允许用户使用一组凭据(用户名和密码)登录多个相关但独立的软件系统。通过本文,你了解了单点登录SSO)的概念、优势和应用场景,以及在Java实现SSO的一些常见技术选型和示例代码。Spring Security提供了强大的身份验证和授权功能,支持集成各种SSO解决方案,如OAuth、OpenID Connect等。大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!
SSO 单点登录java
04-30
以上是SSO单点登录Java环境中的主要技术和知识点,理解并掌握这些内容,有助于构建高效且安全的多系统登录解决方案。对于各应用独立用户库的情况,可以通过用户同步、联合身份或联邦身份管理等方式来实现。在具体...
基于Java和HTML的SSO单点登录框架设计源码
10-11
本文档详细介绍了基于Java和HTML开发的SSO单点登录框架的设计与实现。该框架的核心目标在于为用户提供一个高效、安全、易用的登录体验,同时为开发者提供一个便捷、可扩展的单点登录解决方案。 框架的源码包含99个...
java实现单点登陆(SSO
weixin_44026997的博客
03-30 2745
java实现单点登陆(SSO) 网络域名必须完全一致,才代表同一站点。 域名映射 :访问后面的 会跳转到前面 单点登陆概念: 多系统,单一位置登录,实现多系统同时登陆。常出现在互联网和企业级平台中。 单点登陆一般是用于互相授信的系统,实现单一位置登录,全系统有效。 三方登录:某系统使用其他系统的用户,实现本系统登录的方式,如在jd上使用wx登录。解决信息孤岛(共享用户的名字,而不是密码,用户在每...
java sso 单点登录 demo
12-07
java sso 单点登录 demo , 实现单点登录服务,用于开发与测试。
SSO单点登录实现方案
05-29
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 本示例简单的实现SSO认证系统,没有考虑太多的安全问题,仅供参考。
Java 单点登录开发教程(SSO
01-08
详细阐述Java开发一个单点登录系统的原理和流程(SSO),文档为MD格式
单点登录sso的原理与java实现详细讲解与示例(文档与源码)
06-23
单点登录sso的原理与java实现详细讲解与示例(文档与源码)
SSO单点登录学习入门:Java实现SSO单点登录效果
南北极之间
05-21 1048
SSO单点登录是什么意思:简单解释就是,一处登陆,处处穿梭。比如登陆了新浪微博,那直接去访问新浪博客的时候就不需要再次登陆了。
帮我写一个javaSSO单点登录
weixin_35756637的博客
01-03 185
好的,那么关于单点登录,我们需要先了解什么是单点登录(Single Sign-On,简称 SSO)。 单点登录是一种身份认证机制,它允许用户只需要登录一次就能访问多个应用系统或网站。这样,用户就可以在不同的应用系统或网站之间无缝地切换,而不用再次输入用户名和密码。 下面是一个简单的 Java 代码示例,它演示了如何实现单点登录: ``` // 假设已经有一个用户信息表 user,并且已经有了 JD...
JAVA SSO单点登录原理以及实现方案
qq_40606397的博客
09-20 1582
首先是单点登录的基本原理理解,此处可看这篇文章,写得很浅显易懂:https://www.cnblogs.com/lexiaofei/p/7172214.html 进入正题,如何真正实现一个系统的单点登录方案呢? 大家都知道在JAVA web中,服务器保持登录状态使用的是session机制,而在客户端如果希望存储某个系统的信息使用的是cookie机制。而SSO WEB的实现方案正是根据这两个来进...
#单点登陆 #java #SSO
SirHongGe的博客
05-13 316
单点登录 java sso springboot
JavaWeb中单点登录SSO)的几种解决方案及原理
林立鹏的博客
09-15 1876
基于中央认证授权(Central Authentication Authorization, CAS) 的 SSO:CAS 是一种开源的单点登录协议,它使用令牌来实现 SSO,可以与各种应用程序进行集成。2、基于代理(Proxy)的 SSO:一个代理服务器接收来自用户的请求,并将其重定向到适当的应用程序,并将用户身份验证信息传递给该应用程序。1、基于令牌(Token)的 SSO:用户在登录成功后,得到一个令牌,然后该令牌被用于访问其他相互信任的应用程序
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值