前言

    在早期，项目规模不大的时候，企业中存在的系统不多，通常为1或者2个。每个系统都有自己独立的登陆模块，这样用户进行登陆也不是特别麻烦，分别进行登陆就可以了。但是随着企业规模不断变大，随之而然的系统模块也越来越多，而每个模块都有自己独立的登陆，那么用户就会有很多登陆账号，想要进入系统都得进行单独登陆，这不然是最痛苦的。     那么能不能只在一个系统进行登陆成功之后，在其他系统就不用再登陆了呢？就行我在淘宝网站进行登陆之后，点击链接进入天猫商城一样，不用再重新进行登陆。解决办法是有的，那就是使用单点登陆方案解决。方案有了，不同实现的技术就会出现。下面介绍的是许雪里老师编写开源出来的xxl-sso框架。     单点登陆英文全称Single Sign On ,简称就是SSO。它的解释就是：在多个应用系统中，只需要在一个系统中完成登陆，就可以访问其他相互信任的应用系统。     之前是每一个系统都有单独的登陆认证模块，现在是将登陆功能统一的由SSO进行登陆认证，其它的应用模块没有登陆功能。

    Xxl-sso是一个分布式单点登陆框架。只需要登陆一次就可以访问所有相互信任的应用系统。下面先介绍一下它的特性有哪些：

简洁：API直观简洁，可快速上手 轻量级：环境依赖小，部署与接入成本较低 单点登录：只需要登录一次就可以访问所有相互信任的应用系统 分布式：接入SSO认证中心的应用，支持分布式部署 HA：Server端与Client端，均支持集群部署，提高系统可用性 跨域：支持跨域应用接入SSO认证中心 Cookie+Token均支持：支持基于Cookie和基于Token两种接入方式，并均提供Sample项目 Web+APP均支持：支持Web和APP接入 实时性：系统登陆、注销状态，全部Server与Client端实时共享 CS结构：基于CS结构，包括Server”认证中心”与Client”受保护应用” 记住密码：未记住密码时，关闭浏览器则登录态失效；记住密码时，支持登录态自动延期，在自定义延期时间的基础上，原则上可以无限延期 路径排除：支持自定义多个排除路径，支持Ant表达式,用于排除SSO客户端不需要过滤的路径

xxl-sso框架结构

项目下载地址： https://github.com/xuxueli/xxl-sso

包含三个模块

xxl-sso-server：中央认证服务，支持集群 xxl-sso-core：Client端依赖，主要作用为路径的排除，哪些路径不需要登陆就可以访问的、登陆时token的认证检查等 xxl-sso-samples：单点登陆Client端接入示例项目 xxl-sso-web-sample-springboot：基于Cookie接入方式，供用户浏览器访问，springboot版本 xxl-sso-token-sample-springboot：基于Token接入方式，常用于无法使用Cookie的场景使用，如APP、Cookie被禁用等，springboot版本 环境 JDK：1.7+ Redis：4.0+架构图 相关配置文件介绍 xxl-sso-server认证中心（SSO Server） 配置文件位置：application.properties ### xxl-sso redis 地址： 如 "{ip}"、"{ip}:{port}"、"{redis/rediss}://xxl-sso:{password}@{ip}:{port:6379}/{db}"；多地址逗号分隔 xxl.sso.redis.address=redis://127.0.0.1:6379 登录态有效期窗口，默认24H，当登录态有效期窗口过半时，自动顺延一个周期 xxl.sso.redis.expire.minite=1440

密码配置：可查看com.xxl.sso.core.util下的JedisUtil类中获取ShardedJedis实例代码 2. xxl-sso-web-sample-springboot(应用client) 引入xxl-sso-core核心依赖包

<dependency> <groupId>com.xuxueli</groupId> <artifactId>xxl-sso-core</artifactId> <version>${最新稳定版}</version> </dependency>

配置xxlSsoFilter 配置文件位置：application.properties

### xxl-sso ### Sso server认证中心地址 xxl.sso.server=http://xxlssoserver.com:8080/xxl-sso-server ### 注销登陆path xxl.sso.logout.path=/logout ### 路径排除path，允许设置多个，且支持Ant表达式。用于排除SSO客户端不需要过滤的路径 xxl-sso.excluded.paths= // redis address, like "{ip}"、"{ip}:{port}"、"{redis/rediss}://xxl-sso:{password}@{ip}:{port:6379}/{db}"；Multiple "," separated xxl.sso.redis.address=redis://127.0.0.1:6379 修改hosts文件，模拟真实环境 127.0.0.1 xxlssoserver.com 127.0.0.1 xxlssoclient1.com 127.0.0.1 xxlssoclient2.com

如果在hosts文件中添加了以上内容，不生效，解决方法： 打开命令行窗口：     ipconfig /displaydns 查看配置的dns是否存在     ipconfig /flushdns刷新dns配置

项目启动 分别运行“xxl-sso-server”“xxl-sso-web-sample-springboot”项目

相应访问测试地址

1、SSO认证中心地址： http://xxlssoserver.com:8080/xxl-sso-server 2、Client1应用地址： http://xxlssoclient1.com:8081/xxl-sso-token-sample-springboot/ 3、Client2应用地址： http://xxlssoclient2.com:8081/xxl-sso-token-sample-springboot/ 源码跟踪 访问Client1应用地址，会经过XxlSsoWebFilter拦截。XxlSsoWebFilter存在于核心依赖包中，应用中配置如下： 在XxlSsoWebFilter过滤器中，先进行init初始化操作，初始化内容为在Client1应用中配置的相关信息。然后走doFilter方法，实现登陆检查。 doFilter方法具体代码如下： @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response; // (1) 请求路径 String servletPath = req.getServletPath(); //(2) 路径排除 if (excludedPaths!=null && excludedPaths.trim().length()>0) { for (String excludedPath:excludedPaths.split(",")) { String uriPattern = excludedPath.trim(); // 支持ANT表达式 if (antPathMatcher.match(uriPattern, servletPath)) { chain.doFilter(request, response); return; } } } // (3) 登出 if (logoutPath!=null && logoutPath.trim().length()>0 && logoutPath.equals(servletPath)) { // remove cookie SsoWebLoginHelper.removeSessionIdByCookie(req, res); // redirect logout String logoutPageUrl = ssoServer.concat(Conf.SSO_LOGOUT); res.sendRedirect(logoutPageUrl); return; } // (4) 登陆检查 XxlSsoUser xxlUser = SsoWebLoginHelper.loginCheck(req, res); // (5) 用户信息不存在时 if (xxlUser == null) { String header = req.getHeader("content-type"); boolean isJson= header!=null && header.contains("json"); if (isJson) { //(6) json消息 res.setContentType("application/json;charset=utf-8"); res.getWriter().println("{\"code\":"+Conf.SSO_LOGIN_FAIL_RESULT.getCode()+", \"msg\":\""+ Conf.SSO_LOGIN_FAIL_RESULT.getMsg() +"\"}"); return; } else { // (7) 访问源地址 http://xxlssoclient1.com:8081/xxl-sso-web-sample-springboot/ String link = req.getRequestURL().toString(); // (8) 重定向地址 http://xxlssoserver.com:8080/xxl-sso-server/login?redirect_url=http://xxlssoclient1.com:8081/xxl-sso-web-sample-springboot/ String loginPageUrl = ssoServer.concat(Conf.SSO_LOGIN) + "?" + Conf.REDIRECT_URL + "=" + link; res.sendRedirect(loginPageUrl); return; } } // ser sso user request.setAttribute(Conf.SSO_USER, xxlUser); // (9) 过滤器放行 chain.doFilter(request, response); return; }

编号注释(1-9)： (1)-(3)：主要做路径排除和用户登出的操作。 (4)：登陆用户信息检查(重点部分)，下面会进行代码跟踪。 (5)：如果没有用户信息的处理。 (6-9)：相关信息注释，下面会使用到。

接下来，我们看些编号(4)做的具体处理逻辑 调用SsoWebLoginHelper中的loginCheck方法 又会调用SsoTokenLoginHelper中的lgoinCheck方法，代码如下： public static XxlSsoUser loginCheck(String sessionId){ // 解析key sessionId生成规则 userId+"_"+version String storeKey = SsoSessionIdHelper.parseStoreKey(sessionId); if (storeKey == null) { return null; } //根据key从redis中获取用户信息 XxlSsoUser xxlUser = SsoLoginStore.get(storeKey); if (xxlUser != null) { String version = SsoSessionIdHelper.parseVersion(sessionId); if (xxlUser.getVersion().equals(version)) { // 判断时间是否过半，如果是 自动刷新 if ((System.currentTimeMillis() - xxlUser.getExpireFreshTime()) > xxlUser.getExpireMinite()/2) { xxlUser.setExpireFreshTime(System.currentTimeMillis()); SsoLoginStore.put(storeKey, xxlUser); } return xxlUser; } } return null; } /** * login check * * @param request * @return */ public static XxlSsoUser loginCheck(HttpServletRequest request){ String headerSessionId = request.getHeader(Conf.SSO_SESSIONID); return loginCheck(headerSessionId); } 如果(4)走完，XxlSsoUser为空 判断是否是json请求，此时请求不是json的。重定向到(8)SSO Server项目进行认证： 认证地址：http://xxlssoserver.com:8080/xxl-sso-server/login?redirect_url=http://xxlssoclient1:8081/xxl-sso-web-sample-springboot/ 将重定向的地址存放到登陆隐藏域中 登陆 点击登陆，请求/doLogin @RequestMapping("/doLogin") public String doLogin(HttpServletRequest request, HttpServletResponse response, RedirectAttributes redirectAttributes, String username, String password, String ifRemember) { //判断是否勾选了记住我的功能 boolean ifRem = (ifRemember!=null&&"on".equals(ifRemember))?true:false; // 查询用户逻辑 ReturnT<UserInfo> result = userService.findUser(username, password); if (result.getCode() != ReturnT.SUCCESS_CODE) { redirectAttributes.addAttribute("errorMsg", result.getMsg()); redirectAttributes.addAttribute(Conf.REDIRECT_URL, request.getParameter(Conf.REDIRECT_URL)); return "redirect:/login"; } // 模拟用户信息 XxlSsoUser xxlUser = new XxlSsoUser(); xxlUser.setUserid(String.valueOf(result.getData().getUserid())); xxlUser.setUsername(result.getData().getUsername()); xxlUser.setVersion(UUID.randomUUID().toString().replaceAll("-", "")); xxlUser.setExpireMinite(SsoLoginStore.getRedisExpireMinite()); xxlUser.setExpireFreshTime(System.currentTimeMillis()); // 生成sessionId，生成规则：userId+"_"+version String sessionId = SsoSessionIdHelper.makeSessionId(xxlUser); // 存储到redis和cookie中 SsoWebLoginHelper.login(response, sessionId, xxlUser, ifRem); // 获取隐藏域中存放的登陆成功之后的地址 String redirectUrl = request.getParameter(Conf.REDIRECT_URL); if (redirectUrl!=null && redirectUrl.trim().length()>0) { String redirectUrlFinal = redirectUrl + "?" + Conf.SSO_SESSIONID + "=" + sessionId; return "redirect:" + redirectUrlFinal; } else { return "redirect:/"; } }

携带sessionId重定向到源请求资源地址：http://xxlssoclient1.com:8081/xxl-sso-web-sample-springboot/，此时又会经过XxlSsoWebFilter过滤器 走doFilter方法 调用loginCheck方法检查验证，并写入cookie

到这里xxlssoclient1.com登陆成功

请求Client2应用地址 同样会经过XxlSsoWebFilter，调用SsoWebLoginHelper.loginCheck方法校验用户信息。最后会被重定向到Sso Server 此时SSO Server怎么知道client2不用在进行登陆了呢？看SSO Server项目中代码 @RequestMapping(Conf.SSO_LOGIN) public String login(Model model, HttpServletRequest request, HttpServletResponse response) { // 做登陆检查，此时获取cookieSessionid是从xxlssoserver.com域名下获取的，一定存在用户信息，此前在client1系统中已经登陆过了。 XxlSsoUser xxlUser = SsoWebLoginHelper.loginCheck(request, response); if (xxlUser != null) { // success redirect String redirectUrl = request.getParameter(Conf.REDIRECT_URL); if (redirectUrl!=null && redirectUrl.trim().length()>0) { String sessionId = SsoWebLoginHelper.getSessionIdByCookie(request); String redirectUrlFinal = redirectUrl + "?" + Conf.SSO_SESSIONID + "=" + sessionId;; // 重定向到client2应用地址，携带sessionId return "redirect:" + redirectUrlFinal; } else { return "redirect:/"; } } model.addAttribute("errorMsg", request.getParameter("errorMsg")); model.addAttribute(Conf.REDIRECT_URL, request.getParameter(Conf.REDIRECT_URL)); return "login"; }

同client1重定向方式相同，会经过XxlSsoWebFilter过滤器 走doFilter方法 调用loginCheck方法检查验证，并写入cookie 至此实现了在Client1系统中完成登陆后，访问Client2系统，不再进行登陆操作。