[[401827]]

本文轉(zhuǎn)載自微信公眾號「Java極客技術(shù)」，作者鴨血粉絲 。轉(zhuǎn)載本文請聯(lián)系Java極客技術(shù)公眾號。

一、介紹

昨天介紹了API接口設(shè)計(jì)token鑒權(quán)方案，其實(shí)token鑒權(quán)最佳的實(shí)踐場景就是在單點(diǎn)登錄系統(tǒng)上。

在企業(yè)發(fā)展初期，使用的后臺(tái)管理系統(tǒng)還比較少，一個(gè)或者兩個(gè)。

以電商系統(tǒng)為例，在起步階段，可能只有一個(gè)商城下單系統(tǒng)和一個(gè)后端管理產(chǎn)品和庫存的系統(tǒng)。

隨著業(yè)務(wù)量越來越大，此時(shí)的業(yè)務(wù)系統(tǒng)會(huì)越來越復(fù)雜，項(xiàng)目會(huì)劃分成多個(gè)組，每個(gè)組負(fù)責(zé)各自的領(lǐng)域，例如：A組負(fù)責(zé)商城系統(tǒng)的開發(fā)，B組負(fù)責(zé)支付系統(tǒng)的開發(fā)，C組負(fù)責(zé)庫存系統(tǒng)的開發(fā)，D組負(fù)責(zé)物流跟蹤系統(tǒng)的開發(fā)，E組負(fù)責(zé)每日業(yè)績報(bào)表統(tǒng)計(jì)的開發(fā)...等等。

規(guī)模變大的同時(shí)，人員也會(huì)逐漸的增多，以研發(fā)部來說，大致的人員就有這么幾大類：研發(fā)人員、測試人員、運(yùn)維人員、產(chǎn)品經(jīng)理、技術(shù)支持等等。

他們會(huì)頻繁的登錄各自的后端業(yè)務(wù)系統(tǒng)，然后進(jìn)行辦公。

此時(shí)，我們可以設(shè)想一下，如果每個(gè)組都自己開發(fā)一套后端管理系統(tǒng)的登錄，假如有10個(gè)這樣的系統(tǒng)，同時(shí)一個(gè)新入職的同事需要每個(gè)系統(tǒng)都給他開放一個(gè)權(quán)限，那么我們可能需要給他開通10個(gè)賬號。

隨著業(yè)務(wù)規(guī)模的擴(kuò)大，大點(diǎn)的公司，可能高達(dá)一百多個(gè)業(yè)務(wù)系統(tǒng)，那豈不是要配置一百多個(gè)賬號，讓人去做這種操作，豈不傷天害理。

面對這種繁瑣而且又無效的工作，IT大佬們想到一個(gè)辦法，那就是開發(fā)一套登錄系統(tǒng)，所有的業(yè)務(wù)系統(tǒng)都認(rèn)可這套登錄系統(tǒng)，那么就可以實(shí)現(xiàn)只需要登錄一次，就可以訪問其他相互信任的應(yīng)用系統(tǒng)。

這個(gè)登錄系統(tǒng)，我們把它稱為：單點(diǎn)登錄系統(tǒng)。

好了，言歸正傳，下面我們從兩個(gè)方面來介紹單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)。

• 方案設(shè)計(jì)
• 項(xiàng)目實(shí)踐

二、方案設(shè)計(jì)

2.1、單體后端系統(tǒng)登錄

在傳統(tǒng)的單體后端系統(tǒng)中，簡單點(diǎn)的操作，我們一般都會(huì)這么玩，用戶使用賬號、密碼登錄之后，服務(wù)器會(huì)給當(dāng)前用戶創(chuàng)建一個(gè)session會(huì)話，同時(shí)也會(huì)生成一個(gè)cookie，最后返回給前端。

當(dāng)用戶訪問其他后端的服務(wù)時(shí)，我們只需要檢查一下當(dāng)前用戶的session是否有效，如果無效，就再次跳轉(zhuǎn)到登錄頁面;如果有效，就進(jìn)入業(yè)務(wù)處理流程。

但是，如果訪問不同的域名系統(tǒng)時(shí)，這個(gè)cookie是無效的，因此不能跨系統(tǒng)訪問，同時(shí)也不支持集群環(huán)境的共享。

對于單點(diǎn)登錄的場景，我們需要重新設(shè)計(jì)一套新的方案。

2.2、單點(diǎn)登錄系統(tǒng)登錄

先來一張圖!

這個(gè)流程圖，就是單點(diǎn)登錄系統(tǒng)與應(yīng)用系統(tǒng)之間的交互圖。

當(dāng)用戶登錄某應(yīng)用系統(tǒng)時(shí)，應(yīng)用系統(tǒng)會(huì)把將客戶端傳入的token，調(diào)用單點(diǎn)登錄系統(tǒng)驗(yàn)證token合法性接口，如果不合法就會(huì)跳轉(zhuǎn)到單點(diǎn)登錄系統(tǒng)的登錄頁面;如果合法，就直接進(jìn)入首頁。

進(jìn)入登錄頁面之后，會(huì)讓用戶輸入用戶名、密碼進(jìn)行登錄驗(yàn)證，如果驗(yàn)證成功之后，會(huì)返回一個(gè)有效的token，然后客戶端會(huì)根據(jù)服務(wù)端返回的參數(shù)鏈接，跳轉(zhuǎn)回之前要訪問的應(yīng)用系統(tǒng)。

接著，應(yīng)用系統(tǒng)會(huì)再次驗(yàn)證token的合法性，如果合法，就進(jìn)入首頁，流程結(jié)束。

引入單點(diǎn)登錄系統(tǒng)后，接入的應(yīng)用系統(tǒng)不需要關(guān)系用戶登錄這塊，只需要對客戶端的token做一下合法性鑒權(quán)操作就可以了。

而單點(diǎn)登錄系統(tǒng)，只需要做好用戶的登錄流程和鑒權(quán)并返回安全的token給客戶端。

有的項(xiàng)目，會(huì)將生成的token，存放在客戶端的cookie中，這樣做的目的，就是避免每次調(diào)用接口的時(shí)候都在url里面帶上token。

但是，瀏覽器只允許同域名下的cookies可以共享，對于不同的域名系統(tǒng)， cookie 是無法共享的。

對于這種情況，我們可以先將 token 放入到url鏈接中，類似上面流程圖中跳轉(zhuǎn)思路，對于同一個(gè)應(yīng)用系統(tǒng)，我們可以將token放入到 cookie 中，不同的應(yīng)用系統(tǒng)，我們可以通過 url 鏈接進(jìn)行傳遞，實(shí)現(xiàn)token的傳輸。

三、項(xiàng)目實(shí)踐

在實(shí)踐上，token的存儲(chǔ)，有兩種方案：

• 存放在服務(wù)器，如果是分布式環(huán)境，一般都會(huì)存儲(chǔ)在 redis 中
• 存儲(chǔ)在客戶端，服務(wù)器做驗(yàn)證，天然支持分布式

3.1、存放在redis

存放在redis中，是一種比較常見的處理辦法，最開始的時(shí)候也是這種處理辦法。

當(dāng)用戶登錄成功之后，會(huì)將用戶的信息作為value，用uuid作為key，存儲(chǔ)到redis中，各個(gè)服務(wù)集群共享用戶信息。

代碼實(shí)踐也非常簡單。

用戶登錄之后，將用戶信息存在到redis，同時(shí)返回一個(gè)有效的token給客戶端。

@RequestMapping(value = "/login", method = RequestMethod.POST, produces = {"application/json;charset=UTF-8"}) 
public TokenVO login(@RequestBody LoginDTO loginDTO){ 
    //...參數(shù)合法性驗(yàn)證 
    //從數(shù)據(jù)庫獲取用戶信息 
    User dbUser = userService.selectByUserNo(loginDTO.getUserNo); 
    //....用戶、密碼驗(yàn)證 
 
    //創(chuàng)建token 
    String token = UUID.randomUUID(); 
    //將token和用戶信息存儲(chǔ)到redis,并設(shè)置有效期2個(gè)小時(shí) 
    redisUtil.save(token, dbUser, 2*60*60); 
    //定義返回結(jié)果 
    TokenVO result = new TokenVO(); 
    //封裝token 
    result.setToken(token); 
    //封裝應(yīng)用系統(tǒng)訪問地址 
    result.setRedirectURL(loginDTO.getRedirectURL()); 
    return result; 
} 

客戶端收到登錄成功之后，根據(jù)參數(shù)組合進(jìn)行跳轉(zhuǎn)到對應(yīng)的應(yīng)用系統(tǒng)。

跳轉(zhuǎn)示例如下：http://xxx.com/page.html?token=xxxxxx

各個(gè)應(yīng)用系統(tǒng)，只需要編寫一個(gè)過濾器TokenFilter對token參數(shù)進(jìn)行驗(yàn)證攔截，即可實(shí)現(xiàn)對接，代碼如下：

@Override 
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws ServletException, IOException, SecurityException { 
    HttpServletRequest request = (HttpServletRequest) servletRequest; 
    HttpServletResponse response = (HttpServletResponse) servletResponse; 
 
    String requestUri = request.getRequestURI(); 
    String contextPath = request.getContextPath(); 
    String serviceName = request.getServerName(); 
 
    //添加到白名單的URL放行 
    String[] excludeUrls = { 
            "(?:/images/|/css/|/js/|/template/|/static/|/web/|/constant/).+$", 
            "/user/login", 
            "/user/createImage" 
    }; 
    for (String url : excludeUrls) { 
        if (requestUri.matches(contextPath + url) || (serviceName.matches(url))) { 
            filterChain.doFilter(request, response); 
            return; 
        } 
    } 
    //運(yùn)行跨域探測 
    if(RequestMethod.OPTIONS.name().equals(request.getMethod())){ 
        filterChain.doFilter(request, response); 
        return; 
    } 
 
    //檢查token是否有效 
    final String token = request.getHeader("token"); 
    if(StringUtils.isEmpty(token) || !redisUtil.exist(token)){ 
        ResultMsg<Object> resultMsg = new ResultMsg<>(4000, "token已失效"); 
        //封裝跳轉(zhuǎn)地址 
        resultMsg.setRedirectURL("http://sso.xxx.com?redirectURL=" + request.getRequestURL()); 
        WebUtil.buildPrintWriter(response, resultMsg); 
        return; 
    } 
    //將用戶信息，存入request中，方便后續(xù)獲取 
    User user =  redisUtil.get(token); 
    request.setAttribute("user", user); 
    filterChain.doFilter(request, response); 
    return; 
} 

上面返回的是json數(shù)據(jù)給前端，當(dāng)然你還可以直接在服務(wù)器采用重定向進(jìn)行跳轉(zhuǎn)，具體根據(jù)自己的情況進(jìn)行選擇。

由于每個(gè)應(yīng)用系統(tǒng)都可能需要進(jìn)行對接，因此我們可以將上面的方法封裝成一個(gè)公共jar包，應(yīng)用系統(tǒng)只需要依賴包即可完成對接!

3.2、token存放客戶端

還有一種方案，是將token存放客戶端，這種方案就是服務(wù)端根據(jù)規(guī)則對數(shù)據(jù)進(jìn)行加密生成一個(gè)簽名串，這個(gè)簽名串就是我們所說的token，最后返回給前端。

因?yàn)榧用艿牟僮鞫际窃诜?wù)端完成的，因此密鑰的管理非常重要，不能泄露出去，不然很容易被黑客解密出來。

最典型的應(yīng)用就是JWT!

JWT 是由三段信息構(gòu)成的，將這三段信息文本用.鏈接一起就構(gòu)成了JWT字符串。就像這樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 

如何實(shí)現(xiàn)呢?首先我們需要添加一個(gè)jwt依賴包。

<!-- jwt支持 --> 
<dependency> 
    <groupId>com.auth0</groupId> 
    <artifactId>java-jwt</artifactId> 
    <version>3.4.0</version> 
</dependency> 

然后，創(chuàng)建一個(gè)用戶信息類，將會(huì)通過加密存放在token中。

@Data 
@EqualsAndHashCode(callSuper = false) 
@Accessors(chain = true) 
public class UserToken implements Serializable { 
 
    private static final long serialVersionUID = 1L; 
 
    /** 
     * 用戶ID 
     */ 
    private String userId; 
 
    /** 
     * 用戶登錄賬戶 
     */ 
    private String userNo; 
 
    /** 
     * 用戶中文名 
     */ 
    private String userName; 
} 

接著，創(chuàng)建一個(gè)JwtTokenUtil工具類，用于創(chuàng)建token、驗(yàn)證token。

public class JwtTokenUtil { 
 
 //定義token返回頭部 
    public static final String AUTH_HEADER_KEY = "Authorization"; 
 
 //token前綴 
    public static final String TOKEN_PREFIX = "Bearer "; 
 
 //簽名密鑰 
    public static final String KEY = "q3t6w9z$C&F)J@NcQfTjWnZr4u7x"; 
  
 //有效期默認(rèn)為 2hour 
    public static final Long EXPIRATION_TIME = 1000L*60*60*2; 
 
 
    /** 
     * 創(chuàng)建TOKEN 
     * @param content 
     * @return 
     */ 
    public static String createToken(String content){ 
        return TOKEN_PREFIX + JWT.create() 
                .withSubject(content) 
                .withExpiresAt(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) 
                .sign(Algorithm.HMAC512(KEY)); 
    } 
 
    /** 
     * 驗(yàn)證token 
     * @param token 
     */ 
    public static String verifyToken(String token) throws Exception { 
        try { 
            return JWT.require(Algorithm.HMAC512(KEY)) 
                    .build() 
                    .verify(token.replace(TOKEN_PREFIX, "")) 
                    .getSubject(); 
        } catch (TokenExpiredException e){ 
            throw new Exception("token已失效，請重新登錄",e); 
        } catch (JWTVerificationException e) { 
            throw new Exception("token驗(yàn)證失?。?quot;,e); 
        } 
    } 
} 

同時(shí)編寫配置類，允許跨域，并且創(chuàng)建一個(gè)權(quán)限攔截器。

@Slf4j 
@Configuration 
public class GlobalWebMvcConfig implements WebMvcConfigurer { 
    /** 
     * 重寫父類提供的跨域請求處理的接口 
     * @param registry 
     */ 
    @Override 
    public void addCorsMappings(CorsRegistry registry) { 
        // 添加映射路徑 
        registry.addMapping("/**") 
                // 放行哪些原始域 
                .allowedOrigins("*") 
                // 是否發(fā)送Cookie信息 
                .allowCredentials(true) 
                // 放行哪些原始域(請求方式) 
                .allowedMethods("GET", "POST", "DELETE", "PUT", "OPTIONS", "HEAD") 
                // 放行哪些原始域(頭部信息) 
                .allowedHeaders("*") 
                // 暴露哪些頭部信息（因?yàn)榭缬蛟L問默認(rèn)不能獲取全部頭部信息） 
                .exposedHeaders("Server","Content-Length", "Authorization", "Access-Token", "Access-Control-Allow-Origin","Access-Control-Allow-Credentials"); 
    } 
 
    /** 
     * 添加攔截器 
     * @param registry 
     */ 
    @Override 
    public void addInterceptors(InterceptorRegistry registry) { 
        //添加權(quán)限攔截器 
        registry.addInterceptor(new AuthenticationInterceptor()).addPathPatterns("/**").excludePathPatterns("/static/**"); 
    } 
} 

使用AuthenticationInterceptor攔截器對接口參數(shù)進(jìn)行驗(yàn)證。

@Slf4j 
public class AuthenticationInterceptor implements HandlerInterceptor { 
 
    @Override 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { 
        // 從http請求頭中取出token 
        final String token = request.getHeader(JwtTokenUtil.AUTH_HEADER_KEY); 
        //如果不是映射到方法，直接通過 
        if(!(handler instanceof HandlerMethod)){ 
            return true; 
        } 
        //如果是方法探測，直接通過 
        if (HttpMethod.OPTIONS.equals(request.getMethod())) { 
            response.setStatus(HttpServletResponse.SC_OK); 
            return true; 
        } 
        //如果方法有JwtIgnore注解，直接通過 
        HandlerMethod handlerMethod = (HandlerMethod) handler; 
        Method method=handlerMethod.getMethod(); 
        if (method.isAnnotationPresent(JwtIgnore.class)) { 
            JwtIgnore jwtIgnore = method.getAnnotation(JwtIgnore.class); 
            if(jwtIgnore.value()){ 
                return true; 
            } 
        } 
        LocalAssert.isStringEmpty(token, "token為空，鑒權(quán)失??！"); 
        //驗(yàn)證，并獲取token內(nèi)部信息 
        String userToken = JwtTokenUtil.verifyToken(token); 
   
        //將token放入本地緩存 
        WebContextUtil.setUserToken(userToken); 
        return true; 
    } 
 
    @Override 
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { 
        //方法結(jié)束后，移除緩存的token 
        WebContextUtil.removeUserToken(); 
    } 
} 

最后，在controller層用戶登錄之后，創(chuàng)建一個(gè)token，存放在頭部即可。

/** 
 * 登錄 
 * @param userDto 
 * @return 
 */ 
@JwtIgnore 
@RequestMapping(value = "/login", method = RequestMethod.POST, produces = {"application/json;charset=UTF-8"}) 
public UserVo login(@RequestBody UserDto userDto, HttpServletResponse response){ 
    //...參數(shù)合法性驗(yàn)證 
 
    //從數(shù)據(jù)庫獲取用戶信息 
    User dbUser = userService.selectByUserNo(userDto.getUserNo); 
 
    //....用戶、密碼驗(yàn)證 
 
    //創(chuàng)建token，并將token放在響應(yīng)頭 
    UserToken userToken = new UserToken(); 
    BeanUtils.copyProperties(dbUser,userToken); 
 
    String token = JwtTokenUtil.createToken(JSONObject.toJSONString(userToken)); 
    response.setHeader(JwtTokenUtil.AUTH_HEADER_KEY, token); 
 
 
    //定義返回結(jié)果 
    UserVo result = new UserVo(); 
    BeanUtils.copyProperties(dbUser,result); 
    return result; 
} 

到這里基本就完成了!

其中AuthenticationInterceptor中用到的JwtIgnore是一個(gè)注解，用于不需要驗(yàn)證token的方法上，例如驗(yàn)證碼的獲取等等。

@Target({ElementType.METHOD, ElementType.TYPE}) 
@Retention(RetentionPolicy.RUNTIME) 
public @interface JwtIgnore { 
 
    boolean value() default true; 
} 

而WebContextUtil是一個(gè)線程緩存工具類，其他接口通過這個(gè)方法即可從token中獲取用戶信息。

public class WebContextUtil { 
 
    //本地線程緩存token 
    private static ThreadLocal<String> local = new ThreadLocal<>(); 
 
    /** 
     * 設(shè)置token信息 
     * @param content 
     */ 
    public static void setUserToken(String content){ 
        removeUserToken(); 
        local.set(content); 
    } 
 
    /** 
     * 獲取token信息 
     * @return 
     */ 
    public static UserToken getUserToken(){ 
        if(local.get() != null){ 
            UserToken userToken = JSONObject.parseObject(local.get() , UserToken.class); 
            return userToken; 
        } 
        return null; 
    } 
 
    /** 
     * 移除token信息 
     * @return 
     */ 
    public static void removeUserToken(){ 
        if(local.get() != null){ 
            local.remove(); 
        } 
    } 
} 

對應(yīng)用系統(tǒng)而言，重點(diǎn)在于token的驗(yàn)證，可以將攔截器方法封裝成一個(gè)公共的jar包，然后各個(gè)應(yīng)用系統(tǒng)引用即可!

和上面介紹的token存儲(chǔ)到redis方案類似，不同點(diǎn)在于：一個(gè)將用戶數(shù)據(jù)存儲(chǔ)到redis，另一個(gè)是采用加密算法存儲(chǔ)到客戶端進(jìn)行傳輸。

四、小結(jié)

在實(shí)際的使用過程中，我個(gè)人更加傾向于采用jwt方案，直接在服務(wù)端使用簽名加密算法生成一個(gè)token，然后在客戶端進(jìn)行流轉(zhuǎn)，天然支持分布式，但是要注意加密時(shí)用的密鑰要安全管理。

而采用redis方案存儲(chǔ)的時(shí)候，你需要搭建高可用的集群環(huán)境，同時(shí)保證緩存數(shù)據(jù)不會(huì)失效等等，維護(hù)成本高! 

在實(shí)際的實(shí)現(xiàn)上，每個(gè)公司玩法不一樣，有的安全性要求高，后端還會(huì)加上密鑰環(huán)節(jié)進(jìn)行安全驗(yàn)證，基本思路大同小異。