Springboot单点登录的实现？

什么是单点登录

只需要登录一次就可以访问所有的子系统。

基于Session实现单点的登录

Session的特性：
1. 储存JSESSIONID在客户端
2. 相同的域能够读取到数据
3. 服务端保持Session会话
理论基础
通过子系统使用相同的域来实现：
- A、B、C三个系统
- A的域名为 a.bb.com
- B的域名为 b.bb.com
- C的域名为 c.bb.com
- 那么将Cookie的域设置为 bb.com 。在访问A、B、C任何一个系统的时候都会带Cookie过去
具体实现
- 由于时间原因而且这种按照理论基础来实现没有太大的障碍。提一点在登录的时候最好加上?form=xxxx 进行登录成功后的跳转。

基于jwt实现单点登录

什么是jwt：json 格式的数据,组成的web端,使用的令牌。
1. jwt由三段 json格式 数据组成：header、payload、singnature
  - header：标头，该 json字段 包含{typ:"JWT",alg:"HS256"}。定义令牌类型和加密算法
  - payload：负载，该 json字段 包含自定义到客户端的数据。
  - singnature：签名，用于防止令牌被篡改。不是json字段。是标头和负载各自的base64编码后加上服务器端才知道的盐值，经过标头定义的加密算法加密出来的值构成
2. 如何拼接
  - Base64(标头).Base64(负载).签名
jwt如何实现登录验证
1. 用户登录成功后,根据上面的三段拼接出jwt，返回给客户端存储。
2. 用户访问需要授权的资源时，需要带上jwt。服务器进行下面的验证
  - 通过 . 分割客户端传的jwt
  - Base64解码(第一部分)，获取标头部分。拿到加密算法
  - 将第一部分+第二部分+服务器生成jwt时使用的盐值，根据上面获取到的加密算法得出singnature部分。和分割的第三部分对比。判断jwt是否有效
  - 若有效,且使用了jwt框架或自己在负载加上了过期时间,则判断jwt是否过期
  - 若没过期,就可以Base64解码(第二部分)，获取用户相关登录数据(userid等等)
    
    验证过程中常见异常
jwt的优缺点
1. 缺点:
  - 需要额外处理jwt超时
  - 需要额外主动注销
  - 每次请求都有解码操作
2. 优点：
  - 存储在客户端,服务器存储压力无
  - 利于多系统分布式
  - 可以自定义任意数据

如何实现单点登录

实现jwt机制

自己简单实现jwt。(实现MD5类型的举例,由于代码比较简单,所以不贴代码了)

准备header标头json字符串 {"typ":"JWT","alg":"HS256"}
准备好payload的自定义参数json字符串{"userId":"001"}
准备好MD5算法的盐值 String SING="123321"

生成JWT

String headerBase64=Base64.encodeBase64(准备好的标头字符串)
String payloadBase64=Base64.encodeBase64(准备好的payload字符串)
String singnature=MD5(headerBase64+payloadBase64+准备好MD5算法的盐值)
String jwt=headerBase64+"."+payloadBase64+"."singnature

验证JWT

 String jwtArray=jwt.split("."); //根据点.切割字符串
 if(jwtArray[2].equals(MD5(jwtArray[0]+jwtArray[1]+准备好MD5算法的盐值))){
      有效 
  }else{
      无效
  }
//TODO 额外的payload中自定义的参数的判断，比如有效时间判断

将要超时主动续期和注销退出登录功能的额外实现(TODO)

使用开源框架实现jwt。(这里选择使用 Auth0 Java JWT 实现举例)

添加依赖

<dependency>
   <groupId>com.auth0</groupId>
   <artifactId>java-jwt</artifactId>
   <version>3.10.2</version>
</dependency>
<!-- 以下两个依赖非必须,当生成token失败的时候根据报错如果是缺失这个才需要加 -->
<dependency>
 <groupId>com.fasterxml.jackson.core</groupId>
 <artifactId>jackson-core</artifactId>
</dependency>
<dependency>
 <groupId>com.fasterxml.jackson.core</groupId>
 <artifactId>jackson-databind</artifactId>
</dependency>

生成jwt

// 生成 JWT Token
Algorithm algorithm = Algorithm.HMAC256(SING);
String token = JWT.create()
      .withHeader(new HashMap<>()) //自定义额外标头参数 map类型
      .withClaim("payloadData1", 1) //自定义额外负载参数 int类型
      .withClaim("payloadData2", "2") //自定义额外负载参数 String类型
      .withClaim("payloadData3", true) //自定义额外负载参数 Boolean类型
      .withIssuer("Self") // 预定义payload字段：签发者的名称，没设置则不会出现在负载中。取的时候也会返回null
      .withSubject("Test Auth0 JWT") // 预定义payload字段：jwt所面向的用户的值，没设置则不会出现在负载中。取的时候也会返回null
      .withAudience("Audience X", "Audience Y", "Audience Z") // 预定义payload字段：该jwt由谁接收，没设置则不会出现在负载中。取的时候也会返回null
      .withExpiresAt(DateUtil.getChangeDate(20, TimeUnit.MINUTES)) //jwt过期时间(某个时间点之后就失效了)
      .withNotBefore(DateUtil.getChangeDate(0, null)) // 定义在什么时间之前的时间(时间倒着走是不会过期的)，该jwt都是不可用的.
      .withIssuedAt(DateUtil.getChangeDate(0, null)) //生成签名的时间
      .withJWTId("jwt-id-1")
      .sign(algorithm);

ps:上面是MD5的方式,下面采用RSA的方式生成jwt(下面的验证过程是通用的)。

 /**************************** 生成rsa公钥私钥 ****************************/
 // 生成 RSA 密钥对生成器
 KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
 // 初始化密钥长度
 keyPairGenerator.initialize(2048);
 // 生成 RSA 密钥对
 KeyPair keyPair = keyPairGenerator.generateKeyPair();    

 /*********************** 使用公钥私钥生成Algorithm ***********************/
 Algorithm algorithm = Algorithm.RSA256((RSAPublicKey) keyPair.getPublic(), (RSAPrivateKey) keyPair.getPrivate());

 /*********************** 使用公钥私钥生成Algorithm ***********************/
 //将上面的Algorithm algorithm 替换掉MD5示例里面的  Algorithm algorithm = Algorithm.HMAC256(SING);  就可以了

验证jwt。(JWT.require(algorithm)里面的algorithm要传上面对应的加密算法出来的algorithm)

JWTVerifier jwtVerifier = JWT.require(algorithm).build();
try {
    DecodedJWT decodedJWT = jwtVerifier.verify("FSDFSFDFS");
    String header = decodedJWT.getHeader(); //获取标头 BASE64 部分
    String payload = decodedJWT.getPayload(); //获取负载 BASE64 部分
    String signature = decodedJWT.getSignature(); //获取jwt验证部分

    if (token.equals(header + "." + payload + "." + signature)) { //验证是否有效
        System.out.println("jwt有效");
    }
    decodedJWT.getAlgorithm(); //获取标头 alg 非BASE64 字段的值
    decodedJWT.getType(); //获取标头 typ 非BASE64 字段的值
    decodedJWT.getIssuer(); //
    decodedJWT.getSubject(); //
    decodedJWT.getAudience(); //
    decodedJWT.getId(); //

    decodedJWT.getClaim("payloadData1").asInt(); //获取 自定义额外负载参数 int类型
    decodedJWT.getClaim("payloadData2").asString(); //获取 自定义额外负载参数 String类型
    decodedJWT.getClaim("payloadData3").asBoolean(); //获取 自定义额外负载参数 Boolean类型

    //decodedJWT.getHeaderClaim("").asInt(); //获取 自定义额外标头参数 map类型中的某个 int类型key的值

    System.out.println(new String(Base64.decodeBase64(header)));
    System.out.println(new String(Base64.decodeBase64(payload)));
    return "success";
} catch (SignatureVerificationException e) {
    e.printStackTrace();
    return "无效签名";
} catch (TokenExpiredException e) {
    e.printStackTrace();
    return "token过期";
} catch (AlgorithmMismatchException e) {
    e.printStackTrace();
    return "token算法不一致";
} catch (Exception e) {
    e.printStackTrace();
    return "token无效";
}

实现各个子系统直接的单点登录
- 如果子系统的盐值相同，就可以对同一个jwt进行相同的是否有效的判断。所以这个部分比较简单。每个子系统用相同的盐值实现上面第3不验证jwt即可。

主动注销和过期有效性的处理

用户主动退出登录，使得jwt失效
为了防止jwt在过期时间内一直有效,需要加上注销jwt的功能。

  由于我想要的是那种服务器或者redis挂了,功能也能用的方式。
  又会回到有状态的情况。暂时还没有想到好的解决办法(持久化、读数据库啥的就算了)。
  //暂时用客户端清除jwt实现 。。。。。。。。

如果jwt快要过期，则对jwt进行续期
为了防止jwt用着用着突然过期,需要加上续期功能
```
  if( decodedJWT.getExpiresAt()-now<3分钟){
        //生成新的jwt返回给客户端存储
  }
```

Springboot单点登录的实现？

什么是单点登录

基于Session实现单点的登录

基于jwt实现单点登录

什么是jwt：json 格式的数据,组成的web端,使用的令牌。

jwt如何实现登录验证

jwt的优缺点

如何实现单点登录