一、简介1.1 概述XXL-SSO 是一个分布式单点登录框架。只需要登录一次就可以访问所有相互信任的应用系统。
拥有"轻量级、分布式、跨域、Cookie+Token均支持、Web+APP均支持"等特性;。现已开放源代码,开箱即用。 1.2 特性1、简洁:API直观简洁,可快速上手; 2、轻量级:环境依赖小,部署与接入成本较低; 3、单点登录:只需要登录一次就可以访问所有相互信任的应用系统。 4、分布式:接入SSO认证中心的应用,支持分布式部署; 5、HA:Server端与Client端,均支持集群部署,提高系统可用性; 6、跨域:支持跨域应用接入SSO认证中心; 7、Cookie+Token均支持:支持基于Cookie和基于Token两种接入方式,并均提供Sample项目; 8、Web+APP均支持:支持Web和APP接入; 9、实时性:系统登陆、注销状态,全部Server与Client端实时共享; 10、CS结构:基于CS结构,包括Server"认证中心"与Client"受保护应用"; 11、记住密码:未记住密码时,关闭浏览器则登录态失效;记住密码时,支持登录态自动延期,在自定义延期时间的基础上,原则上可以无限延期; 12、路径排除:支持自定义多个排除路径,支持Ant表达式。用于排除SSO客户端不需要过滤的路径;
1.3 下载文档地址源码仓库地址技术交流1.4 环境JDK:1.7+ Redis:4.0+ Mysql:5.6+
二、快速入门(基于Cookie)基于Cookie,相关概念可参考 "章节 4.6";
2.1:系统数据库初始化2.2:源码编译- xxl-sso-server:中央认证服务,支持集群;
- xxl-sso-core:Client端依赖;
- xxl-sso-samples:单点登陆Client端接入示例项目;
- xxl-sso-web-sample-springboot:基于Cookie接入方式,供用户浏览器访问,springboot版本
- xxl-sso-token-sample-springboot:基于Token接入方式,常用于无法使用Cookie的场景使用,如APP、Cookie被禁用等,springboot版本
2.3 部署 "认证中心(SSO Server)"项目名:xxl-sso-server
配置说明配置文件位置:application.properties ……
// redis 地址: 如 "{ip}"、"{ip}:{port}"、"{redis/rediss}://xxl-sso:{password}@{ip}:{port:6379}/{db}";多地址逗号分隔
xxl.sso.redis.address=redis://127.0.0.1:6379
// 登录态有效期窗口,默认24H,当登录态有效期窗口过半时,自动顺延一个周期;
xxl.sso.redis.expire.minite=1440
2.4 部署 "单点登陆Client端接入示例项目"项目名:xxl-sso-web-sample-springboot
maven依赖<dependency>
<groupId>com.xuxueli</groupId>
<artifactId>xxl-sso-core</artifactId>
<version>${最新稳定版}</version>
</dependency>
配置 XxlSsoFilter参考代码:com.xxl.sso.sample.config.XxlSsoConfig @Bean
public FilterRegistrationBean xxlSsoFilterRegistration() {
// xxl-sso, redis init
JedisUtil.init(xxlSsoRedisAddress);
// xxl-sso, filter init
FilterRegistrationBean registration = new FilterRegistrationBean();
registration.setName("XxlSsoWebFilter");
registration.setOrder(1);
registration.addUrlPatterns("/*");
registration.setFilter(new XxlSsoWebFilter());
registration.addInitParameter(Conf.SSO_SERVER, xxlSsoServer);
registration.addInitParameter(Conf.SSO_LOGOUT_PATH, xxlSsoLogoutPath);
return registration;
}
配置说明配置文件位置:application.properties ……
### xxl-sso (CLient端SSO配置)
##### SSO Server认证中心地址(推荐以域名方式配置认证中心,本机可参考章节"2.5"修改host文件配置域名指向)
xxl.sso.server=http://:8080/xxl-sso-server
##### 注销登陆path,值为Client端应用的相对路径
xxl.sso.logout.path=/logout
##### 路径排除Path,允许设置多个,且支持Ant表达式。用于排除SSO客户端不需要过滤的路径
xxl-sso.excluded.paths=
### redis // redis address, like "{ip}"、"{ip}:{port}"、"{redis/rediss}://xxl-sso:{password}@{ip}:{port:6379}/{db}";Multiple "," separated
xxl.sso.redis.address=redis://xxl-sso:password@127.0.0.1:6379/0
2.5 验证### 在host文件中添加以下内容0
127.0.0.1
127.0.0.1
127.0.0.1
三、快速入门(基于Token)基于Token,相关概念可参考 "章节 4.7";(在一些无法使用Cookie的场景下,可使用该方式,否则可以忽略本章节)
3.1 "认证中心(SSO Server)" 搭建可参考 "章节二" 搭建;
"认证中心" 搭建成功后,默认为Token方式登陆提供API接口如下: 2.2 部署 "单点登陆Client端接入示例项目" (Token方式)项目名:xxl-sso-token-sample-springboot
可参考 "章节 2.4" 部署 "单点登陆Client端接入示例项目",唯一不同点是:将web应用的 "XxlSsoFilter" 更换为app应用 "XxlSsoTokenFilter";
2.3 验证 (模拟请求 Token 方式接入SSO的接口)### 在host文件中添加以下内容0
127.0.0.1
127.0.0.1
127.0.0.1
可参考测试用例 :com.xxl.app.sample.test.TokenClientTest
正常情况下,登录流程如下:
1、获取用户输入的账号密码后,请求SSO Server的登录接口,获取用户 sso sessionid ;(参考代码:TokenClientTest.loginTest)
2、登陆成功后,获取到 sso sessionid ,需要主动存储,后续请求时需要设置在 Header参数 中;
3、此时,使用 sso sessionid 访问受保护的 "Client01应用" 和 "Client02应用" 提供的接口,接口均正常返回;(参考代码:TokenClientTest.clientApiRequestTest)
正常情况下,注销流程如下:
1、请求SSO Server的注销接口,注销登陆凭证 sso sessionid ;(参考代码:TokenClientTest.logoutTest)
2、注销成功后,sso sessionid 将会全局失效;
3、此时,使用 sso sessionid 访问受保护的 "Client01应用" 和 "Client02应用" 提供的接口,接口请求将会被拦截,提示未登录并返回状态码 501 ;(参考代码:TokenClientTest.clientApiRequestTest)
四、总体设计4.1 架构图4.2 功能定位XXL-SSO 是一个分布式单点登录框架。只需要登录一次就可以访问所有相互信任的应用系统。 借助 XXL-SSO,可以快速实现分布式系统单点登录。 4.3 核心概念概念 | 说明 |
---|
SSO Server | 中央认证服务,支持集群; | SSO Client | 接入SSO认证中心的Client应用; | SSO SessionId | 登录用户会话ID,SSO 登录成功为用户自动分配; | SSO User | 登录用户信息,与 SSO SessionId 相对应; |
4.4 登录流程剖析用户于Client端应用访问受限资源时,将会自动 redirect 到 SSO Server 进入统一登录界面。 用户登录成功之后将会为用户分配 SSO SessionId 并 redirect 返回来源Client端应用,同时附带分配的 SSO SessionId。 在Client端的SSO Filter里验证 SSO SessionId 无误,将 SSO SessionId 写入到用户浏览器Client端域名下 cookie 中。 SSO Filter验证 SSO SessionId 通过,受限资源请求放行;
4.5 注销流程剖析4.6 基于Cookie,相关感念4.7 基于Token,相关感念4.8 未登录状态请求处理基于Cookie,未登录状态请求: 基于Token,未登录状态请求: 返回未登录的JSON格式响应数据 code:501 错误码 msg:sso not login.
4.9 登录态自动延期支持自定义登录态有效期窗口,默认24H,当登录态有效期窗口过半时,自动顺延一个周期; 4.10 记住密码未记住密码时,关闭浏览器则登录态失效;记住密码时,登录态自动延期,在自定义延期时间的基础上,原则上可以无限延期; 4.11 路径排除自定义路径排除Path,允许设置多个,且支持Ant表达式。用于排除SSO客户端不需要过滤的路径 五、版本更新日志5.1 版本 v0.1.0,新特性[2018-04-04]1、简洁:API直观简洁,可快速上手; 2、轻量级:环境依赖小,部署与接入成本较低; 3、单点登录:只需要登录一次就可以访问所有相互信任的应用系统。 4、分布式:接入SSO认证中心的应用,支持分布式部署; 5、HA:Server端与Client端,均支持集群部署,提高系统可用性; 6、实时性:系统登陆、注销状态,全部Server与Client端实时共享; 7、CS结构:基于CS结构,包括Server"认证中心"与Client"受保护应用"; 8、跨域:支持跨域应用接入SSO认证中心;
5.2 版本 v1.1.0 Release Notes [2018-11-06]1、Redis配置方式增强,支持自定义DB、密码、IP、PORT等等;; 2、Token接入方式;除了常规Cookie方式外,新增Token接入方式,并提供Sample项目; 3、登录态自动延期:支持自定义登录态有效期窗口,默认24H,当登录态有效期窗口过半时,自动顺延一个周期; 4、"记住密码" 功能优化:未记住密码时,关闭浏览器则登录态失效;记住密码时,登录态自动延期,在自定义延期时间的基础上,原则上可以无限延期; 5、sessionId数据结构优化,进一步提升暴露破解难度; 6、认证数据存储结构调整,避免登陆信息存储冗余; 7、认证中心用户登录校验改为Mock数据方式,取消对DB强依赖,降低部署难度; 8、Client端依赖Core包,slf4j依赖优化,移除log4j强依赖; 9、Ajax请求未登录处理逻辑优化,返回JSON格式提示数据; 10、项目结构梳理,清理冗余依赖,升级多项依赖版本至较近版本; 11、路径排除:新增自定义属性 "excludedPaths",允许设置多个,且支持Ant表达式。用于排除SSO客户端不需要过滤的路径
5.3 版本 v1.1.1 Release Notes [迭代中]TODO LIST1、认证中心与接入端交互数据加密,增强安全性;redirect_url必须和临时AccessToken配合才会生效,AccessToken有效期60s; 2、SSO SessionId 与IP绑定,增强用户增强安全性; 3、支持认证分组,分组内共享登陆状态,分组之间登录态隔离;待考虑; 4、客户端新增属性 "xxl.sso.server",用于构建跳转连接,防止跳转第三方导致登陆漏洞; 5、token验证方式增加jwt方式支持; 6、Client端移除Redis依赖,改为LocalCache + RPC校验方式;
六、其他6.1 项目贡献欢迎参与项目贡献!比如提交PR修复一个bug,或者新建 Issue 讨论新特性或者变更。 6.2 用户接入登记更多接入的公司,欢迎在 登记地址 登记,登记仅仅为了产品推广。 6.3 开源协议和版权产品开源免费,并且将持续提供免费的社区技术支持。个人或企业内部可自由的接入和使用。 xxl-sso单点登录框架原理Client原理分析: 1、访问客户端的时候,XxlSsoWebFilter过滤器过滤请求,XxlSsoWebFilter类继承了HttpServlet,实现了Filter接口 2、先从Cookie中获取当前CookieId 3、如果用户没有登陆的情况下,自动重定向到认证授权中心 4、在认证授权中心登陆成功之后,在认证授权域名下存放对应的cookie信息,返回原来地址 (回调地址) 5、认证授权系统回调到子系统中传递xxl_sso_sessionid 6、回调到子系统的时候,进XxlSsoWebFilter拦截 获取xxl_sso_sessionid 信息 7、子系统使用xxl_sso_sessionid从redis查询认证授权系统登陆的用户信息,将用户信息在子系统域名下存放对应的用户Cookie信息,保证认证授权系统和子系统双方Cookie信息同步 其它子系统如何实现免密码登录呢? 用户在第一个子系统登录之后,访问第二系统登录认证时,重定向到认证授权系统,因为认证授权系统域名下已经有cookie信息,直接带xxl_sso_sessionid参数回调到子系统,执行上面6、7两个步骤 单点登录注销登录呢? 子系统注销后,会重定向到认证授权系统,认证授权系统根据删除xxl_sso_sessionid删除redis里面的登录信息,回调子系统,子系统删除cookie信息;其它子系统登录认证的时,认证中心xxl_sso_sessionid在redis里面已经不存在,需要重新登录授权
|