《SSO系列二》自己动手写一个SSO

概述

上篇博客http://blog.csdn.net/bingospunky中大概的介绍了一下SSO。这篇文章介绍一个我学习过程中写的一个Demo，可以让初学者对SSO有一个整体的认识。

线上演示

我已经把我这个Demo部署在我的服务器上，你可以按照如下步骤体验。(需要翻墙)

1.两个业务的地址分别是
http://taobao.mabinbin.com/bzi1/user/index
http://tmall.mabinbin.com/bzi2/user/index
登录这两个地址都会跳转到SSO的登录界面。

2.在http://taobao.mabinbin.com/bzi1/user/index那个界面跳转的SSO登录界面登录，然后可以跳转到http://taobao.mabinbin.com/bzi1/user/index这个网站，然后再开一个浏览器访问http://tmall.mabinbin.com/bzi2/user/index，可以不用登录，访问到http://tmall.mabinbin.com/bzi2/user/index的内容。这样就实现了单点登录。

3.这个Demo的接口在http://sso.mabinbin.com/sso/swagger/index.html这里。

源码下载，编译运行

项目源码在http://mabinbin.com:8888/binbincivil/sso-demo这里。

1.git clone http://www.mabinbin.com:8888/binbincivil/sso-demo.git
2.在本地启动redis，host:127.0.0.1 port:6379 不要密码
3.cd sso-demo-home, mvn clean install
4.不部署项目。
4.1.把sso-server项目部署在localhost:8080下，不论用ide还是使用脚本+插件，保证项目在localhost:8080下，且没有contextPath下可以访问，关键注意没有contextPath。
4.2.把sso-bzi-8081部署两个，分别在localhost:8081、localhost:8082，这里也注意没有contextPath。
建议使用IDEA，部署服务器参照最后的截图。
5.修改本地hosts，添加如下解析:

127.0.0.1 feifei1.com127.0.0.1 feifei2.com

6.两个业务服务的地址分别的http://feifei1.com:8081/user/index、http://feifei2.com:8082/user/index，接口swagger的地址为http://localhost:8080/swagger/index.html。
7.使用步骤参考上述的线上演示部分。

代码介绍

1.项目通过maven构建，有三个子项目，分别是sso-server,sso-client,sso-bzi-8081。sso-server是一个war项目，负责用户的登录、登录、注册等功能，提供restful接口供业务服务器验证Token有效性和获取用户信息。sso-client是一个jar项目，用来让各个业务服务器集成，来获取SSO的能力。该jar对请求进行过滤，如果需要登录，则跳转到SSO的登录界面，如果是登录后的，它会使用Token去SSO服务器验证登录信息。sso-bzi-8081是一个模拟的业务服务，通过依赖sso-client来用户使用SSO的能力。
2.该Demo的用户信息存放在redis里，在sso-server项目里Spring加载结束的时候，会添加一个默认的用户：账号：10000、密码123456，该Demo只演示单点登录功能，没有实现用户的注册、修改信息等一些其他功能。对于登出，可以登出，但是没有做单点。
3.本着少添加依赖的原则，sso-server项目使用spring-mvc、redis。sso-bzi-8081直接基于servlet。
4.代码通过git管理，可以方便的看到commit记录。
5.上面一节中，需要严格按照步骤把redis设置成那个样子，项目部署也要在指定的端口和contextPath下。这些都可以在项目中进行设置，现在默认的设置就是这个样子的。如果需要这些都可以改。

实现原理

1.当用户访问http://feifei1.com:8081/user/index时，请求会被过滤器net.qingtian.client.filter.SSOFilter拦截，在SSOFilter里进行判断，因为没有在8081这个项目登录过，所以直接跳转到SSO的登录界面http://localhost:8080/resources/login.html?returnURL=http%3A%2F%2Ffeifei1.com%3A8081%2Fuser%2Findex进行登录。
2.登录成功后，服务器会给加一个如下的Cookie，实现下次自动登录。

Set-Cookie:CCC=01ca02d2-c5f8-44b8-bc5a-824af99f6796; Expires=Wed, 29-Nov-2017 07:42:38 GMT; Path=/

3.登录成功后，同时服务器端生成一个Token字符串，可以通过这个字符串对应到这个用户。服务器把这个Token返回给SSO登录的界面。登录界面的js收到这个token后，会执行页面跳转，跳转到第一步中的业务地址，并携带这个token。跳转的地址如下

http://feifei1.com:8081/user/index?token=01ca02d2-c5f8-44b8-bc5a-824af99f6796

4.请求还是会被过滤器net.qingtian.client.filter.SSOFilter拦截，在SSOFilter里判断，这个用户没有在8081这个项目登录过，但是请求里包含token，SSOFilter会调用SSO的restful接口验证token的有效性，如果token是有效的，那么可以获取到用户的基本信息，然后把这些基本信息存放在session里来标记用户在8081这个项目里已经登录。

附

项目在IDEA的部署配置

sso-server:

sso-bzi-8081:

sso-bzi-8082: