Java单点登录(SSO)

原创 于 2025-08-25 10:54:07 发布 · 1.2k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

一文带你了解Java单点登录(SSO)

目录

单点登录简介

什么是单点登录(SSO)

单点登录(Single Sign-On, SSO)是一种身份验证机制,允许用户使用一组凭据登录多个相关但独立的软件系统。用户只需要登录一次,就可以访问所有被授权的系统,无需重复输入用户名和密码。

SSO的核心概念

核心概念:
  身份认证: 验证用户身份的过程
  会话管理: 维护用户登录状态
  票据机制: 用于验证用户身份的凭证
  信任关系: 各系统间的互相信任机制
  单点登出: 一次登出所有系统的机制

SSO的优势

优势:
  - 用户体验: 一次登录,多处访问,提升用户体验
  - 安全性: 集中管理用户身份,降低密码泄露风险
  - 管理效率: 统一用户管理,减少维护成本
  - 合规性: 满足企业安全策略和合规要求
  - 扩展性: 易于集成新的应用系统

SSO流程简介图

基本SSO流程

用户 应用A 应用B SSO服务器 访问应用A 检查用户登录状态 未登录,重定向到登录页 输入用户名密码 验证用户身份 重定向回应用A,携带票据 验证票据 票据有效,创建本地会话 显示应用A内容 访问应用B 检查用户登录状态 用户已登录,返回用户信息 显示应用B内容 用户 应用A 应用B SSO服务器

基于Cookie的SSO流程
Cookie存在
Cookie不存在
有效
无效
成功
失败
成功
失败
用户访问应用
检查本地Cookie
验证Cookie有效性
重定向到SSO登录页
创建本地会话
用户输入凭据
SSO验证身份
设置SSO Cookie
显示错误信息
重定向回原应用
应用验证SSO Cookie
用户正常访问应用

基于Token的SSO流程

Token验证流程
Token存在
Token不存在
有效
无效
成功
失败
成功
失败
解析JWT Token
验证签名
检查过期时间
验证用户权限
用户访问应用
检查本地Token
验证Token有效性
重定向到SSO登录页
创建本地会话
用户输入凭据
SSO验证身份
生成JWT Token
显示错误信息
重定向回原应用
应用验证JWT Token
用户正常访问应用

单点登录的实现方式

1. 基于Cookie的SSO

实现原理
@Component
public class CookieBasedSSO {
  
    private static final String SSO_COOKIE_NAME = "SSO_SESSION_ID";
    private static final String SSO_DOMAIN = ".example.com";
  
    public void setSSOCookie(HttpServletResponse response, String sessionId) {
        Cookie ssoCookie = new Cookie(SSO_COOKIE_NAME, sessionId);
        ssoCookie.setDomain(SSO_DOMAIN);
        ssoCookie.setPath("/");
        ssoCookie.setHttpOnly(true);
        ssoCookie.setSecure(true); // HTTPS环境下使用
        ssoCookie.setMaxAge(3600); // 1小时过期
      
        response.addCookie(ssoCookie);
    }
  
    public String getSSOCookie(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                if (SSO_COOKIE_NAME.equals(cookie.getName())) {
                    return cookie.getValue();
                }
            }
        }
        return null;
    }
}
会话验证
@Service
public class CookieSSOService {
  
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
  
    public boolean validateSSOSession(String sessionId) {
        String key = "sso:session:" + sessionId;
        Object userInfo = redisTemplate.opsForValue().get(key);
        return userInfo != null;
    }
  
    public UserInfo getUserInfo(String sessionId) {
        String key = "sso:session:" + sessionId;
        return (UserInfo) redisTemplate.opsForValue().get(key);
    }
  
    public void createSSOSession(String sessionId, UserInfo userInfo) {
        String key = "sso:session:" + sessionId;
        redisTemplate.opsForValue().set(key, userInfo, Duration.ofHours(1));
    }
}

2. 基于Token的SSO

JWT Token生成
@Service
public class JWTSSOService {
  
    @Value("${jwt.secret}")
    private String jwtSecret;
  
    @Value("${jwt.expiration}")
    private long jwtExpiration;
  
    public String generateSSOToken(UserInfo userInfo) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + jwtExpiration);
      
        return Jwts.builder()
            .setSubject(userInfo.getUsername())
            .claim("userId", userInfo.getUserId())
            .claim("roles", userInfo.getRoles())
            .setIssuedAt(now)
            .setExpiration(expiryDate)
            .signWith(SignatureAlgorithm.HS512, jwtSecret)
            .compact();
    }
  
    public Claims validateSSOToken(String token) {
        try {
            return Jwts.parser()
                .setSigningKey(jwtSecret)
                .parseClaimsJws(token)
                .getBody();
        } catch (Exception e) {
            throw new InvalidTokenException("Invalid JWT token");
        }
    }
  
    public UserInfo extractUserInfo(String token) {
        Claims claims = validateSSOToken(token);
      
        UserInfo userInfo = new UserInfo();
        userInfo.setUsername(claims.getSubject());
        userInfo.setUserId(claims.get("userId", Long.class));
        userInfo.setRoles(claims.get("roles", List.class));
      
        return userInfo;
    }
}
Token验证中间件
@Component
public class JWTSSOInterceptor implements HandlerInterceptor {
  
    @Autowired
    private JWTSSOService jwtSSOService;
  
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, 
                           Object handler) throws Exception {
      
        // 跳过不需要验证的路径
        if (isExcludedPath(request.getRequestURI())) {
            return true;
        }
      
        String token = extractToken(request);
        if (token == null) {
            redirectToLogin(request, response);
            return false;
        }
      
        try {
            UserInfo userInfo = jwtSSOService.extractUserInfo(token);
            request.setAttribute("userInfo", userInfo);
            return true;
        } catch (InvalidTokenException e) {
            redirectToLogin(request, response);
            return false;
        }
    }
  
    private String extractToken(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (bearerToken != null && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
      
        // 从URL参数获取token
        return request.getParameter("token");
    }
  
    private void redirectToLogin(HttpServletRequest request, HttpServletResponse response) 
            throws IOException {
        String loginUrl = "https://sso.example.com/login?redirect=" + 
                         URLEncoder.encode(request.getRequestURL().toString(), "UTF-8");
        response.sendRedirect(loginUrl);
    }
  
    private boolean isExcludedPath(String uri) {
        return uri.startsWith("/public/") || 
               uri.startsWith("/static/") || 
               uri.equals("/health");
    }
}

3. 基于CAS的SSO

CAS客户端配置
@Configuration
@EnableCas
public class CASConfig {
  
    @Value("${cas.server.url}")
    private String casServerUrl;
  
    @Value("${cas.client.url}")
    private String casClientUrl;
  
    @Bean
    public CasAuthenticationEntryPoint casAuthenticationEntryPoint() {
        CasAuthenticationEntryPoint entryPoint = new CasAuthenticationEntryPoint();
        entryPoint.setLoginUrl(casServerUrl + "/login");
        entryPoint.setServiceProperties(serviceProperties());
        return entryPoint;
    }
  
    @Bean
    public ServiceProperties serviceProperties() {
        ServiceProperties serviceProperties = new ServiceProperties();
        serviceProperties.setService(casClientUrl + "/login/cas");
        serviceProperties.setSendRenew(false);
        return serviceProperties;
    }
  
    @Bean
    public CasAuthenticationProvider casAuthenticationProvider() {
        CasAuthenticationProvider provider = new CasAuthenticationProvider();
        provider.setServiceProperties(serviceProperties());
        provider.setTicketValidator(cas20ServiceTicketValidator());
        provider.setAuthenticationUserDetailsService(userDetailsService());
        provider.setKey("casProviderKey");
        return provider;
    }
  
    @Bean
    public Cas20ServiceTicketValidator cas20ServiceTicketValidator() {
        return new Cas20ServiceTicketValidator(casServerUrl);
    }
}

4. 基于OAuth2的SSO

OAuth2配置
@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
  
    @Autowired
    private AuthenticationManager authenticationManager;
  
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("web-app")
            .secret("{noop}secret")
            .authorizedGrantTypes("authorization_code", "refresh_token")
            .scopes("read", "write")
            .redirectUris("http://localhost:8080/login/oauth2/code/")
            .accessTokenValiditySeconds(3600)
            .refreshTokenValiditySeconds(86400);
    }
  
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService());
    }
  
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.tokenKeyAccess("permitAll()")
               .checkTokenAccess("isAuthenticated()");
    }
}

重难点分析

1. 安全性问题

会话劫持防护
@Component
public class SessionSecurityService {
  
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
  
    public void createSecureSession(String sessionId, UserInfo userInfo, 
                                  HttpServletRequest request) {
        // 绑定IP地址
        String clientIP = getClientIP(request);
        String userAgent = request.getHeader("User-Agent");
      
        SessionInfo sessionInfo = new SessionInfo();
        sessionInfo.setUserInfo(userInfo);
        sessionInfo.setClientIP(clientIP);
        sessionInfo.setUserAgent(userAgent);
        sessionInfo.setCreateTime(LocalDateTime.now());
      
        String key = "sso:session:" + sessionId;
        redisTemplate.opsForValue().set(key, sessionInfo, Duration.ofHours(1));
    }
  
    public boolean validateSessionSecurity(String sessionId, HttpServletRequest request) {
        String key = "sso:session:" + sessionId;
        SessionInfo sessionInfo = (SessionInfo) redisTemplate.opsForValue().get(key);
      
        if (sessionInfo == null) {
            return false;
        }
      
        // 检查IP地址是否变化
        String currentIP = getClientIP(request);
        if (!currentIP.equals(sessionInfo.getClientIP())) {
            log.warn("IP地址变化,可能存在会话劫持: {}", sessionId);
            return false;
        }
      
        // 检查User-Agent是否变化
        String currentUserAgent = request.getHeader("User-Agent");
        if (!currentUserAgent.equals(sessionInfo.getUserAgent())) {
            log.warn("User-Agent变化,可能存在会话劫持: {}", sessionId);
            return false;
        }
      
        return true;
    }
  
    private String getClientIP(HttpServletRequest request) {
        String xForwardedFor = request.getHeader("X-Forwarded-For");
        if (xForwardedFor != null && !xForwardedFor.isEmpty()) {
            return xForwardedFor.split(",")[0].trim();
        }
        return request.getRemoteAddr();
    }
}
防重放攻击
@Component
public class ReplayAttackProtection {
  
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
  
    public boolean validateNonce(String nonce, long timestamp) {
        // 检查时间戳是否在有效期内(5分钟)
        long currentTime = System.currentTimeMillis();
        if (Math.abs(currentTime - timestamp) > 300000) {
            return false;
        }
      
        // 检查nonce是否已被使用
        String key = "nonce:" + nonce;
        Boolean isUsed = redisTemplate.hasKey(key);
        if (Boolean.TRUE.equals(isUsed)) {
            return false;
        }
      
        // 标记nonce为已使用,设置过期时间
        redisTemplate.opsForValue().set(key, "used", Duration.ofMinutes(5));
        return true;
    }
  
    public String generateNonce() {
        return UUID.randomUUID().toString();
    }
}

2. 性能优化

分布式会话管理
@Configuration
public class RedisSessionConfig {
  
    @Bean
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) {
        RedisTemplate<String, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(factory);
      
        // 设置序列化器
        Jackson2JsonRedisSerializer<Object> serializer = new Jackson2JsonRedisSerializer<>(Object.class);
        ObjectMapper mapper = new ObjectMapper();
        mapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        mapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, 
                                   ObjectMapper.DefaultTyping.NON_FINAL);
        serializer.setObjectMapper(mapper);
      
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);
      
        template.afterPropertiesSet();
        return template;
    }
  
    @Bean
    public RedisSessionRepository redisSessionRepository(RedisTemplate<String, Object> redisTemplate) {
        return new RedisSessionRepository(redisTemplate);
    }
}
会话缓存策略
@Service
public class SessionCacheService {
  
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
  
    @Cacheable(value = "session", key = "#sessionId")
    public SessionInfo getSessionInfo(String sessionId) {
        String key = "sso:session:" + sessionId;
        return (SessionInfo) redisTemplate.opsForValue().get(key);
    }
  
    @CacheEvict(value = "session", key = "#sessionId")
    public void invalidateSession(String sessionId) {
        String key = "sso:session:" + sessionId;
        redisTemplate.delete(key);
    }
  
    @CachePut(value = "session", key = "#sessionId")
    public SessionInfo updateSession(String sessionId, SessionInfo sessionInfo) {
        String key = "sso:session:" + sessionId;
        redisTemplate.opsForValue().set(key, sessionInfo, Duration.ofHours(1));
        return sessionInfo;
    }
}

3. 单点登出问题

全局登出实现
@Service
public class GlobalLogoutService {
  
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
  
    @Autowired
    private ApplicationEventPublisher eventPublisher;
  
    public void globalLogout(String sessionId) {
        // 1. 获取用户信息
        SessionInfo sessionInfo = getSessionInfo(sessionId);
        if (sessionInfo == null) {
            return;
        }
      
        // 2. 获取用户的所有活跃会话
        String userKey = "user:sessions:" + sessionInfo.getUserInfo().getUserId();
        Set<String> userSessions = redisTemplate.opsForSet().members(userKey);
      
        // 3. 清除所有会话
        if (userSessions != null) {
            for (String session : userSessions) {
                invalidateSession(session);
            }
        }
      
        // 4. 清除用户会话集合
        redisTemplate.delete(userKey);
      
        // 5. 发布登出事件
        eventPublisher.publishEvent(new UserLogoutEvent(sessionInfo.getUserInfo()));
      
        log.info("用户 {} 全局登出成功", sessionInfo.getUserInfo().getUsername());
    }
  
    public void registerUserSession(String userId, String sessionId) {
        String userKey = "user:sessions:" + userId;
        redisTemplate.opsForSet().add(userKey, sessionId);
        redisTemplate.expire(userKey, Duration.ofHours(1));
    }
}

应用场景

1. 企业内部系统集成

@Service
public class EnterpriseSSOService {
  
    @Autowired
    private SSOClient ssoClient;
  
    public void integrateWithEnterpriseSystems(String userId) {
        // 集成ERP系统
        integrateERP(userId);
      
        // 集成CRM系统
        integrateCRM(userId);
      
        // 集成OA系统
        integrateOA(userId);
      
        // 集成财务系统
        integrateFinance(userId);
    }
  
    private void integrateERP(String userId) {
        // 调用ERP系统API,同步用户信息
        ERPUserInfo erpUser = ssoClient.getERPUserInfo(userId);
        if (erpUser != null) {
            // 处理ERP用户信息
            log.info("ERP系统集成成功: {}", userId);
        }
    }
  
    private void integrateCRM(String userId) {
        // 调用CRM系统API,同步用户信息
        CRMUserInfo crmUser = ssoClient.getCRMUserInfo(userId);
        if (crmUser != null) {
            // 处理CRM用户信息
            log.info("CRM系统集成成功: {}", userId);
        }
    }
}

2. 多租户SaaS应用

@Service
public class MultiTenantSSOService {
  
    @Autowired
    private TenantService tenantService;
  
    public SSOConfig getTenantSSOConfig(String tenantId) {
        Tenant tenant = tenantService.getTenant(tenantId);
        if (tenant == null) {
            throw new TenantNotFoundException("租户不存在: " + tenantId);
        }
      
        return SSOConfig.builder()
            .ssoServerUrl(tenant.getSsoServerUrl())
            .clientId(tenant.getClientId())
            .clientSecret(tenant.getClientSecret())
            .redirectUri(tenant.getRedirectUri())
            .build();
    }
  
    public void handleTenantLogin(String tenantId, String username, String password) {
        SSOConfig config = getTenantSSOConfig(tenantId);
      
        // 根据租户配置进行SSO认证
        SSOResult result = authenticateWithTenant(config, username, password);
      
        if (result.isSuccess()) {
            // 创建租户特定的会话
            createTenantSession(tenantId, result.getUserInfo());
        }
    }
}

3. 移动应用SSO

@Service
public class MobileSSOService {
  
    @Autowired
    private JWTSSOService jwtSSOService;
  
    public MobileSSOResponse mobileLogin(String username, String password, String deviceId) {
        // 验证用户凭据
        UserInfo userInfo = authenticateUser(username, password);
      
        // 生成移动端专用Token
        String mobileToken = generateMobileToken(userInfo, deviceId);
      
        // 记录设备登录信息
        recordDeviceLogin(userInfo.getUserId(), deviceId);
      
        return MobileSSOResponse.builder()
            .token(mobileToken)
            .userInfo(userInfo)
            .expiresIn(3600)
            .build();
    }
  
    private String generateMobileToken(UserInfo userInfo, String deviceId) {
        // 在JWT中添加设备信息
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", userInfo.getUserId());
        claims.put("deviceId", deviceId);
        claims.put("tokenType", "mobile");
      
        return Jwts.builder()
            .setSubject(userInfo.getUsername())
            .addClaims(claims)
            .setIssuedAt(new Date())
            .setExpiration(new Date(System.currentTimeMillis() + 3600000))
            .signWith(SignatureAlgorithm.HS512, jwtSecret)
            .compact();
    }
}

Spring Boot集成

1. 主配置类

@SpringBootApplication
@EnableCaching
@EnableAsync
public class SSOApplication {
  
    public static void main(String[] args) {
        SpringApplication.run(SSOApplication.class, args);
    }
  
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
  
    @Bean
    public ObjectMapper objectMapper() {
        ObjectMapper mapper = new ObjectMapper();
        mapper.setDateFormat(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"));
        mapper.setTimeZone(TimeZone.getDefault());
        return mapper;
    }
}

2. 安全配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  
    @Autowired
    private UserDetailsService userDetailsService;
  
    @Autowired
    private JWTSSOService jwtSSOService;
  
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/public/**", "/auth/**", "/health").permitAll()
                .anyRequest().authenticated()
            .and()
            .addFilterBefore(new JWTSSOFilter(jwtSSOService), 
                           UsernamePasswordAuthenticationFilter.class)
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
  
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder());
    }
  
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

3. 控制器

@RestController
@RequestMapping("/api/sso")
public class SSOController {
  
    @Autowired
    private SSOService ssoService;
  
    @Autowired
    private JWTSSOService jwtSSOService;
  
    @PostMapping("/login")
    public ResponseEntity<LoginResponse> login(@RequestBody LoginRequest request) {
        try {
            UserInfo userInfo = ssoService.authenticate(request.getUsername(), 
                                                      request.getPassword());
          
            String token = jwtSSOService.generateSSOToken(userInfo);
          
            return ResponseEntity.ok(LoginResponse.builder()
                .token(token)
                .userInfo(userInfo)
                .expiresIn(3600)
                .build());
        } catch (AuthenticationException e) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED)
                .body(LoginResponse.builder()
                    .error("认证失败")
                    .build());
        }
    }
  
    @PostMapping("/logout")
    public ResponseEntity<Void> logout(@RequestHeader("Authorization") String token) {
        if (token != null && token.startsWith("Bearer ")) {
            String jwtToken = token.substring(7);
            ssoService.logout(jwtToken);
        }
        return ResponseEntity.ok().build();
    }
  
    @GetMapping("/user")
    public ResponseEntity<UserInfo> getCurrentUser(@RequestAttribute UserInfo userInfo) {
        return ResponseEntity.ok(userInfo);
    }
  
    @PostMapping("/validate")
    public ResponseEntity<ValidationResponse> validateToken(@RequestBody String token) {
        try {
            UserInfo userInfo = jwtSSOService.extractUserInfo(token);
            return ResponseEntity.ok(ValidationResponse.builder()
                .valid(true)
                .userInfo(userInfo)
                .build());
        } catch (Exception e) {
            return ResponseEntity.ok(ValidationResponse.builder()
                .valid(false)
                .error(e.getMessage())
                .build());
        }
    }
}

4. 配置文件

# application.yml
spring:
  redis:
    host: localhost
    port: 6379
    database: 0
    timeout: 2000ms
    lettuce:
      pool:
        max-active: 8
        max-wait: -1ms
        max-idle: 8
        min-idle: 0

  cache:
    type: redis
    redis:
      time-to-live: 3600000
      cache-null-values: false

jwt:
  secret: your-secret-key-here
  expiration: 3600000

sso:
  server:
    url: https://sso.example.com
    login-path: /login
    logout-path: /logout
    validate-path: /validate
  
  client:
    id: your-client-id
    secret: your-client-secret
    redirect-uri: http://localhost:8080/callback

logging:
  level:
    com.example.sso: DEBUG
    org.springframework.security: DEBUG

5. 异常处理

@ControllerAdvice
public class SSOExceptionHandler {
  
    @ExceptionHandler(InvalidTokenException.class)
    public ResponseEntity<ErrorResponse> handleInvalidToken(InvalidTokenException e) {
        ErrorResponse error = ErrorResponse.builder()
            .error("INVALID_TOKEN")
            .message("Token无效或已过期")
            .timestamp(LocalDateTime.now())
            .build();
      
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(error);
    }
  
    @ExceptionHandler(AuthenticationException.class)
    public ResponseEntity<ErrorResponse> handleAuthentication(AuthenticationException e) {
        ErrorResponse error = ErrorResponse.builder()
            .error("AUTHENTICATION_FAILED")
            .message("用户名或密码错误")
            .timestamp(LocalDateTime.now())
            .build();
      
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(error);
    }
  
    @ExceptionHandler(Exception.class)
    public ResponseEntity<ErrorResponse> handleGeneric(Exception e) {
        ErrorResponse error = ErrorResponse.builder()
            .error("INTERNAL_ERROR")
            .message("服务器内部错误")
            .timestamp(LocalDateTime.now())
            .build();
      
        return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body(error);
    }
}

最佳实践

1. 安全最佳实践

安全建议:
  - 使用HTTPS传输所有SSO相关数据
  - 实现Token过期和刷新机制
  - 记录所有SSO操作的审计日志
  - 实现防暴力破解机制
  - 定期轮换密钥和证书
  - 实现多因素认证(MFA)
  - 监控异常登录行为

2. 性能最佳实践

性能建议:
  - 使用Redis等缓存存储会话信息
  - 实现Token黑名单机制
  - 合理设置Token过期时间
  - 使用异步处理非关键操作
  - 实现负载均衡和集群部署
  - 监控SSO系统性能指标

3. 监控和日志

@Component
public class SSOMonitoringService {
  
    @Autowired
    private MeterRegistry meterRegistry;
  
    public void recordLoginAttempt(String username, boolean success) {
        if (success) {
            meterRegistry.counter("sso.login.success").increment();
        } else {
            meterRegistry.counter("sso.login.failure").increment();
        }
    }
  
    public void recordTokenValidation(String token, boolean valid) {
        if (valid) {
            meterRegistry.counter("sso.token.valid").increment();
        } else {
            meterRegistry.counter("sso.token.invalid").increment();
        }
    }
  
    @EventListener
    public void handleUserLoginEvent(UserLoginEvent event) {
        log.info("用户登录事件: username={}, timestamp={}, ip={}", 
                event.getUsername(), event.getTimestamp(), event.getClientIP());
    }
  
    @EventListener
    public void handleUserLogoutEvent(UserLogoutEvent event) {
        log.info("用户登出事件: username={}, timestamp={}", 
                event.getUsername(), event.getTimestamp());
    }
}

总结

Java单点登录(SSO)是企业级应用中的重要技术,通过本文章的学习,您应该能够:

  1. 理解SSO的核心概念和优势
  2. 掌握不同SSO实现方式的原理和代码
  3. 分析SSO系统的重难点和解决方案
  4. 了解SSO在各种应用场景中的使用
  5. 在Spring Boot中正确集成SSO功能
  6. 遵循最佳实践,构建安全可靠的SSO系统

SSO系统的成功实施需要综合考虑安全性、性能、可维护性等多个方面,建议在实际项目中根据具体需求选择合适的实现方案。

Java实现单点登录SSO)详解
勤劳的小琪
04-24 6820
单点登录(Single Sign-On,简称SSO)是目前比较流行的企业业务整合的解决方案之一,它的主要功能是:在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录的实现机制是:当用户第一次访问应用系统1的时候,因为还没有登录,所以会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行验证,如果通过验证,则应该返回给用户一个认证的凭据——ticket;
实例详解:Java使用JWT和Redis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 4008
单点登录(Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis来实现SSO功能,并提供详细的Java代码实例。通过结合JWT和Redis,我们可以轻松实现单点登录SSO)的功能。
[Java 基于SSO实现单点登录]
汤圆的博客
06-14 2650
顺风顺水
编写你自己的单点登录SSO)服务
热门推荐
javachannel的专栏
05-24 14万+
王昱 yuwang881@gmail.com   博客地址http://yuwang881.blog.sohu.com摘要:单点登录SSO)的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域;从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解;还从安全和性能的角度对现有的实现
JAVA单点登录
qq_36074043的博客
08-10 1万+
首先我们先了解一下什么是单点登录单点登录Single Sign On简称为SSO,是目前比较流行的企业业务整合的解决方案之一。F5 BIG-IP Edge Gateway解决方案借助SSO改进用户体验。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 单点登录的好处? 单点登录可以做到在不记录用户密码的情况下,实现不同系统之间的资源共享,自动登录不
java单点登录sso源码
11-24
Java单点登录(Single Sign-On,SSO)是一种网络访问控制机制,允许用户在一次登录后,无需再次认证即可访问多个应用系统。SSO的核心思想是:用户只需要在一个可信的身份认证中心(Identity Provider,IdP)进行身份...
Java SSO单点登录详解
最新发布
C_V_Better的博客
03-21 1321
单点登录(Single Sign-On,简称SSO)是一种身份认证机制,允许用户在一个系统中登录后,即可访问多个相互信任的应用系统,而无需在每个系统中重新登录。这不仅提高了用户体验,还简化了管理和维护的复杂性。
Java单点登录SSO完整源码框架
Java单点登录SSO源码”这一标题所涉及的知识点,是现代企业级Web应用系统中极为关键的安全架构设计之一——单点登录(Single Sign-On,简称SSO)。该描述明确指出,此项目为2015年11月24日搭建的完整框架,包含...
java 单点登录sso
04-29
单点登录SSO)是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,而无需再次登录。Java SSO实现的方式有很多...总之,Java单点登录的实现方式有很多种,可以根据实际需求选择合适的方案。
基于CAS与TOMCAT实现JAVA单点登录SSO详解
**单点登录SSO)** 是一种用户登录管理的解决方案,允许用户在多个应用系统之间只需登录一次,即可访问所有相互信任的应用系统。在SSO系统中,用户仅需要在首次访问系统时输入一次用户名和密码,之后就可以无感地...
Java 单点登录
全村的希望的博客
06-21 3698
在认证中心中,需要实现用户的身份验证逻辑,并生成一个包含用户信息的令牌(Token)。在应用程序中,配置了安全过滤器,拦截需要身份验证的请求,并通过令牌验证用户的身份。请注意,这只是一个简化的示例,并没有涵盖所有的细节和完整的实现。实际的单点登录实现可能需要考虑更多的安全性和业务需求,例如令牌的过期时间、刷新令牌、单点注销等。Java单点登录(Single Sign-On,简称SSO)是一种身份认证机制,允许用户使用一组凭据(例如用户名和密码)登录一次,然后在多个应用程序中无需重新输入凭据即可访问。
什么是单点登录SSO
勇往直前的专栏
05-18 742
来源:Java3y(ID:java3y)一、什么是单点登录单点登录的英文名叫做:Single Sign On(简称SSO)。 在初学/以前的时候,一般我们就单系统,所有的功能都在同一个系统上。 所有的功能都在同一个系统上后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。 拆分成多个子系统比如阿里系的淘宝和天猫,很明显地我们可以知道这是两个系统,但是你在使用的时候,登...
单点登录 java_java单点登录SSO
weixin_39906114的博客
02-12 561
单点登录(SSO)SSO是指在多个应用系统中个,用户只需要登陆一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一用户的登陆的机制。SSO的实现过程:通过上述图形,我们可以看到SSO的大体实现步骤主要分为两大步:存储登录信息,查验登录信息。对于SSO,我们也可以将之分为两大不同的类型:同域SSO和跨域SSO;其中同域SSO又可以分为完全同域SSO和同父域SSO...
java实现单点登录
qq_43910862的博客
07-14 1万+
java单点登录介绍,JWT以及CAS原理介绍以及java代码实现
Java 单点登录解决方案
LANDAGOOD的博客
03-31 4620
基于中央认证授权(Central Authentication Authorization, CAS)SSO:CAS 是一种开源的单点登录协议,它使用令牌来实现 SSO,可以与各种应用程序进行集成。基于代理(Proxy)SSO:一个代理服务器接收来自用户的请求,并将其重定向到适当的应用程序,并将用户身份验证信息传递给该应用程序。基于令牌(Token)SSO:用户在登录成功后,得到一个令牌,然后该令牌被用于访问其他相互信任的应用程序。基于 Cookie 的 SSO
JAVA单点登录详解
qq_43062182的博客
09-04 4526
单点登录(Single Sign-On,简称SSO)是一种身份认证机制,允许用户在一个地方登录后,即可访问多个相关但独立的系统或应用程序,而不需要在每个系统中重新登录。Cookie存储在客户端,Session存储在服务器端。Session更安全,因为敏感信息不暴露给客户端。Cookie容易受到安全威胁,如XSS(跨站脚本攻击)。Cookie可以持久化保存到客户端,Session通常在会话结束或超时后失效。Cookie的大小有限,通常为4KB,而Session的数据容量则依赖于服务器的存储能力。
单点登录的三种方式
qq_43280993的博客
10-13 4818
因为一个项目种有多个服务组成,每个服务都是独立的,如果登录的时候在一个服务种,那么其他的服务是显示不了的,所以就有了单点登录。 所谓单点登录就是一处登录,处处登录。 第一种方式:session广播机制实现 第二种方式:使用cookie + redis实现 第三种方式、使用token实现 一、在项目中某个模块进行登录之后,按照自己定义的规则生成字符串。把登录之后的用户包含到生成的字符串里面,把字符串进行返回 1、可以把字符串通过cookie返回 2、把字符串通过地址栏返回 二、再去访问项
Java实现单点登录SSO)详解:从理论到实践
喔的嘛呀的博客
07-04 2628
单点登录是一种身份认证的机制,允许用户在访问多个相关但独立的软件系统时,只需一次登录,便可无缝访问所有系统。这大大提高了用户体验,并简化了管理和维护的复杂性。通过本文,我们详细讨论了SSO的核心概念、选择了适当的身份验证协议,并提供了完整的Java代码实现。实现SSO系统需要深入理解身份验证协议、使用合适的框架,以及合理配置认证和资源服务器。希望这篇博客能够为你提供深度且全面的SSO实现指南。通过这个实践,你将更好地理解和应用SSO技术,提升应用的用户体验和安全性。
Java】如何实现单点登录
DreamSun的博客
07-20 4904
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值