大鸡巴久久久,玖玖无码,国产操逼在线观看,中文字幕有码人妻二区三区,chinese麻豆videoxxxx年轻,在线www,三级影片在线播放 ,黄动漫在线播放

你知道的越多，不知道的就越多，業(yè)余的像一棵小草！

你來，我們一起精進(jìn)！你不來，我和你的競(jìng)爭(zhēng)對(duì)手一起精進(jìn)！

編輯：業(yè)余草

cnblogs.com/ywlaker

推薦：https://www.xttblog.com/?p=5344

全網(wǎng)閱讀超百萬(wàn)的單點(diǎn)登錄原理與簡(jiǎn)單實(shí)現(xiàn)

單系統(tǒng)登錄機(jī)制

http無狀態(tài)協(xié)議

web 應(yīng)用采用 browser/server 架構(gòu)，http 作為通信協(xié)議。http 是無狀態(tài)協(xié)議，瀏覽器的每一次請(qǐng)求，服務(wù)器會(huì)獨(dú)立處理，不與之前或之后的請(qǐng)求產(chǎn)生關(guān)聯(lián)，這個(gè)過程用下圖說明，三次請(qǐng)求/響應(yīng)對(duì)之間沒有任何聯(lián)系。

但這也同時(shí)意味著，任何用戶都能通過瀏覽器訪問服務(wù)器資源，如果想保護(hù)服務(wù)器的某些資源，必須限制瀏覽器請(qǐng)求；要限制瀏覽器請(qǐng)求，必須鑒別瀏覽器請(qǐng)求，響應(yīng)合法請(qǐng)求，忽略非法請(qǐng)求；要鑒別瀏覽器請(qǐng)求，必須清楚瀏覽器請(qǐng)求狀態(tài)。既然http協(xié)議無狀態(tài)，那就讓服務(wù)器和瀏覽器共同維護(hù)一個(gè)狀態(tài)吧！這就是會(huì)話機(jī)制。

會(huì)話機(jī)制

瀏覽器第一次請(qǐng)求服務(wù)器，服務(wù)器創(chuàng)建一個(gè)會(huì)話，并將會(huì)話的id作為響應(yīng)的一部分發(fā)送給瀏覽器，瀏覽器存儲(chǔ)會(huì)話id，并在后續(xù)第二次和第三次請(qǐng)求中帶上會(huì)話id，服務(wù)器取得請(qǐng)求中的會(huì)話id就知道是不是同一個(gè)用戶了，這個(gè)過程用下圖說明，后續(xù)請(qǐng)求與第一次請(qǐng)求產(chǎn)生了關(guān)聯(lián)。

服務(wù)器在內(nèi)存中保存會(huì)話對(duì)象，瀏覽器怎么保存會(huì)話id呢？你可能會(huì)想到兩種方式

請(qǐng)求參數(shù)
cookie

將會(huì)話 id 作為每一個(gè)請(qǐng)求的參數(shù)，服務(wù)器接收請(qǐng)求自然能解析參數(shù)獲得會(huì)話 id，并借此判斷是否來自同一會(huì)話，很明顯，這種方式不靠譜。那就瀏覽器自己來維護(hù)這個(gè)會(huì)話 id 吧，每次發(fā)送 http 請(qǐng)求時(shí)瀏覽器自動(dòng)發(fā)送會(huì)話 id，cookie 機(jī)制正好用來做這件事。cookie 是瀏覽器用來存儲(chǔ)少量數(shù)據(jù)的一種機(jī)制，數(shù)據(jù)以key/value形式存儲(chǔ)，瀏覽器發(fā)送 http 請(qǐng)求時(shí)自動(dòng)附帶 cookie 信息。

tomcat 會(huì)話機(jī)制當(dāng)然也實(shí)現(xiàn)了 cookie，訪問 tomcat 服務(wù)器時(shí)，瀏覽器中可以看到一個(gè)名為JSESSIONID的 cookie，這就是 tomcat 會(huì)話機(jī)制維護(hù)的會(huì)話 id，使用了 cookie 的請(qǐng)求響應(yīng)過程如下圖：

登錄狀態(tài)

有了會(huì)話機(jī)制，登錄狀態(tài)就好明白了，我們假設(shè)瀏覽器第一次請(qǐng)求服務(wù)器需要輸入用戶名與密碼驗(yàn)證身份，服務(wù)器拿到用戶名密碼去數(shù)據(jù)庫(kù)比對(duì)，正確的話說明當(dāng)前持有這個(gè)會(huì)話的用戶是合法用戶，應(yīng)該將這個(gè)會(huì)話標(biāo)記為“已授權(quán)”或者“已登錄”等等之類的狀態(tài)，既然是會(huì)話的狀態(tài)，自然要保存在會(huì)話對(duì)象中，tomcat 在會(huì)話對(duì)象中設(shè)置登錄狀態(tài)如下：

HttpSession?session?=?request.getSession();
session.setAttribute("isLogin",?true);

用戶再次訪問時(shí)，tomcat 在會(huì)話對(duì)象中查看登錄狀態(tài)。

HttpSession?session?=?request.getSession();
session.getAttribute("isLogin");

實(shí)現(xiàn)了登錄狀態(tài)的瀏覽器請(qǐng)求服務(wù)器模型如下圖描述：

每次請(qǐng)求受保護(hù)資源時(shí)都會(huì)檢查會(huì)話對(duì)象中的登錄狀態(tài)，只有isLogin=true的會(huì)話才能訪問，登錄機(jī)制因此而實(shí)現(xiàn)。

多系統(tǒng)的復(fù)雜性

web 系統(tǒng)早已從久遠(yuǎn)的單系統(tǒng)發(fā)展成為如今由多系統(tǒng)組成的應(yīng)用群，面對(duì)如此眾多的系統(tǒng)，用戶難道要一個(gè)一個(gè)登錄、然后一個(gè)一個(gè)注銷嗎？就像下圖描述的這樣：

web 系統(tǒng)由單系統(tǒng)發(fā)展成多系統(tǒng)組成的應(yīng)用群，復(fù)雜性應(yīng)該由系統(tǒng)內(nèi)部承擔(dān)，而不是用戶。無論 web 系統(tǒng)內(nèi)部多么復(fù)雜，對(duì)用戶而言，都是一個(gè)統(tǒng)一的整體，也就是說，用戶訪問 web 系統(tǒng)的整個(gè)應(yīng)用群與訪問單個(gè)系統(tǒng)一樣，登錄/注銷只要一次就夠了。

雖然單系統(tǒng)的登錄解決方案很完美，但對(duì)于多系統(tǒng)應(yīng)用群已經(jīng)不再適用了，為什么呢？

單系統(tǒng)登錄解決方案的核心是 cookie，cookie 攜帶會(huì)話 id 在瀏覽器與服務(wù)器之間維護(hù)會(huì)話狀態(tài)。但 cookie 是有限制的，這個(gè)限制就是 cookie 的域（通常對(duì)應(yīng)網(wǎng)站的域名），瀏覽器發(fā)送 http 請(qǐng)求時(shí)會(huì)自動(dòng)攜帶與該域匹配的 cookie，而不是所有 cookie。

既然這樣，為什么不將 web 應(yīng)用群中所有子系統(tǒng)的域名統(tǒng)一在一個(gè)頂級(jí)域名下，例如*.baidu.com，然后將它們的 cookie 域設(shè)置為baidu.com，這種做法理論上是可以的，甚至早期很多多系統(tǒng)登錄就采用這種同域名共享 cookie 的方式。

然而，可行并不代表好，共享 cookie 的方式存在眾多局限。首先，應(yīng)用群域名得統(tǒng)一；其次，應(yīng)用群各系統(tǒng)使用的技術(shù)（至少是 web 服務(wù)器）要相同，不然 cookie 的 key 值（tomcat 為 JSESSIONID）不同，無法維持會(huì)話，共享 cookie 的方式是無法實(shí)現(xiàn)跨語(yǔ)言技術(shù)平臺(tái)登錄的，比如 java、php、.net 系統(tǒng)之間；第三，cookie 本身不安全。

因此，我們需要一種全新的登錄方式來實(shí)現(xiàn)多系統(tǒng)應(yīng)用群的登錄，這就是單點(diǎn)登錄。

單點(diǎn)登錄

什么是單點(diǎn)登錄？單點(diǎn)登錄全稱Single Sign On（以下簡(jiǎn)稱 SSO），是指在多系統(tǒng)應(yīng)用群中登錄一個(gè)系統(tǒng)，便可在其他所有系統(tǒng)中得到授權(quán)而無需再次登錄，包括單點(diǎn)登錄與單點(diǎn)注銷兩部分。

登錄

相比于單系統(tǒng)登錄，sso 需要一個(gè)獨(dú)立的認(rèn)證中心，只有認(rèn)證中心能接受用戶的用戶名密碼等安全信息，其他系統(tǒng)不提供登錄入口，只接受認(rèn)證中心的間接授權(quán)。間接授權(quán)通過令牌實(shí)現(xiàn)，sso 認(rèn)證中心驗(yàn)證用戶的用戶名密碼沒問題，創(chuàng)建授權(quán)令牌，在接下來的跳轉(zhuǎn)過程中，授權(quán)令牌作為參數(shù)發(fā)送給各個(gè)子系統(tǒng)，子系統(tǒng)拿到令牌，即得到了授權(quán)，可以借此創(chuàng)建局部會(huì)話，局部會(huì)話登錄方式與單系統(tǒng)的登錄方式相同。這個(gè)過程，也就是單點(diǎn)登錄的原理，用下圖說明：

下面對(duì)上圖簡(jiǎn)要描述：

用戶訪問系統(tǒng) 1 的受保護(hù)資源，系統(tǒng) 1 發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至 sso 認(rèn)證中心，并將自己的地址作為參數(shù)
sso 認(rèn)證中心發(fā)現(xiàn)用戶未登錄，將用戶引導(dǎo)至登錄頁(yè)面
用戶輸入用戶名密碼提交登錄申請(qǐng)
sso 認(rèn)證中心校驗(yàn)用戶信息，創(chuàng)建用戶與 sso 認(rèn)證中心之間的會(huì)話，稱為全局會(huì)話，同時(shí)創(chuàng)建授權(quán)令牌
sso 認(rèn)證中心帶著令牌跳轉(zhuǎn)會(huì)最初的請(qǐng)求地址（系統(tǒng)1）
系統(tǒng) 1 拿到令牌，去 sso 認(rèn)證中心校驗(yàn)令牌是否有效
sso 認(rèn)證中心校驗(yàn)令牌，返回有效，注冊(cè)系統(tǒng) 1
系統(tǒng) 1 使用該令牌創(chuàng)建與用戶的會(huì)話，稱為局部會(huì)話，返回受保護(hù)資源
用戶訪問系統(tǒng) 2 的受保護(hù)資源
系統(tǒng) 2 發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至 sso 認(rèn)證中心，并將自己的地址作為參數(shù)
sso 認(rèn)證中心發(fā)現(xiàn)用戶已登錄，跳轉(zhuǎn)回系統(tǒng) 2 的地址，并附上令牌
系統(tǒng) 2 拿到令牌，去 sso 認(rèn)證中心校驗(yàn)令牌是否有效
sso 認(rèn)證中心校驗(yàn)令牌，返回有效，注冊(cè)系統(tǒng) 2
系統(tǒng) 2 使用該令牌創(chuàng)建與用戶的局部會(huì)話，返回受保護(hù)資源

用戶登錄成功之后，會(huì)與 sso 認(rèn)證中心及各個(gè)子系統(tǒng)建立會(huì)話，用戶與 sso 認(rèn)證中心建立的會(huì)話稱為全局會(huì)話，用戶與各個(gè)子系統(tǒng)建立的會(huì)話稱為局部會(huì)話，局部會(huì)話建立之后，用戶訪問子系統(tǒng)受保護(hù)資源將不再通過 sso 認(rèn)證中心，全局會(huì)話與局部會(huì)話有如下約束關(guān)系：

局部會(huì)話存在，全局會(huì)話一定存在
全局會(huì)話存在，局部會(huì)話不一定存在
全局會(huì)話銷毀，局部會(huì)話必須銷毀

你可以通過博客園、百度、csdn、淘寶等網(wǎng)站的登錄過程加深對(duì)單點(diǎn)登錄的理解，注意觀察登錄過程中的跳轉(zhuǎn) url 與參數(shù)。

注銷

單點(diǎn)登錄自然也要單點(diǎn)注銷，在一個(gè)子系統(tǒng)中注銷，所有子系統(tǒng)的會(huì)話都將被銷毀，用下面的圖來說明。

sso認(rèn)證中心一直監(jiān)聽全局會(huì)話的狀態(tài)，一旦全局會(huì)話銷毀，監(jiān)聽器將通知所有注冊(cè)系統(tǒng)執(zhí)行注銷操作

下面對(duì)上圖簡(jiǎn)要說明：

用戶向系統(tǒng) 1 發(fā)起注銷請(qǐng)求
系統(tǒng) 1 根據(jù)用戶與系統(tǒng) 1 建立的會(huì)話 id 拿到令牌，向 sso 認(rèn)證中心發(fā)起注銷請(qǐng)求
sso 認(rèn)證中心校驗(yàn)令牌有效，銷毀全局會(huì)話，同時(shí)取出所有用此令牌注冊(cè)的系統(tǒng)地址
sso 認(rèn)證中心向所有注冊(cè)系統(tǒng)發(fā)起注銷請(qǐng)求
各注冊(cè)系統(tǒng)接收 sso 認(rèn)證中心的注銷請(qǐng)求，銷毀局部會(huì)話
sso 認(rèn)證中心引導(dǎo)用戶至登錄頁(yè)面

部署圖

單點(diǎn)登錄涉及 sso 認(rèn)證中心與眾子系統(tǒng)，子系統(tǒng)與 sso 認(rèn)證中心需要通信以交換令牌、校驗(yàn)令牌及發(fā)起注銷請(qǐng)求，因而子系統(tǒng)必須集成 sso 的客戶端，sso 認(rèn)證中心則是 sso 服務(wù)端，整個(gè)單點(diǎn)登錄過程實(shí)質(zhì)是 sso 客戶端與服務(wù)端通信的過程，用下圖描述：

sso 認(rèn)證中心與 sso 客戶端通信方式有多種，這里以簡(jiǎn)單好用的 httpClient 為例，web service、rpc、restful api 都可以。

實(shí)現(xiàn)

只是簡(jiǎn)要介紹下基于 java 的實(shí)現(xiàn)過程，不提供完整源碼，明白了原理，我相信你們可以自己實(shí)現(xiàn)。sso 采用客戶端/服務(wù)端架構(gòu)，我們先看 sso-client 與 sso-server 要實(shí)現(xiàn)的功能（下面：sso 認(rèn)證中心 = sso-server）

sso-client

攔截子系統(tǒng)未登錄用戶請(qǐng)求，跳轉(zhuǎn)至 sso 認(rèn)證中心
接收并存儲(chǔ) sso 認(rèn)證中心發(fā)送的令牌
與 sso-server 通信，校驗(yàn)令牌的有效性
建立局部會(huì)話
攔截用戶注銷請(qǐng)求，向 sso 認(rèn)證中心發(fā)送注銷請(qǐng)求
接收 sso 認(rèn)證中心發(fā)出的注銷請(qǐng)求，銷毀局部會(huì)話

sso-server

驗(yàn)證用戶的登錄信息
創(chuàng)建全局會(huì)話
創(chuàng)建授權(quán)令牌
與 sso-client 通信發(fā)送令牌
校驗(yàn) sso-client 令牌有效性
系統(tǒng)注冊(cè)
接收 sso-client 注銷請(qǐng)求，注銷所有會(huì)話　　接下來，我們按照原理來一步步實(shí)現(xiàn) sso 吧！

sso-client攔截未登錄請(qǐng)求

java 攔截請(qǐng)求的方式有 servlet、filter、listener 三種方式，我們采用 filter。在 sso-client 中新建 LoginFilter.java 類并實(shí)現(xiàn) Filter 接口，在 doFilter() 方法中加入對(duì)未登錄用戶的攔截。

public?void?doFilter(ServletRequest?request,?ServletResponse?response,?FilterChain?chain)?throws?IOException,?ServletException?{
????HttpServletRequest?req?=?(HttpServletRequest)?request;
????HttpServletResponse?res?=?(HttpServletResponse)?response;
????HttpSession?session?=?req.getSession();
?????
????if?(session.getAttribute("isLogin"))?{
????????chain.doFilter(request,?response);
????????return;
????}
????//跳轉(zhuǎn)至sso認(rèn)證中心
????res.sendRedirect("sso-server-url-with-system-url");
}

sso-server攔截未登錄請(qǐng)求

攔截從 sso-client 跳轉(zhuǎn)至 sso 認(rèn)證中心的未登錄請(qǐng)求，跳轉(zhuǎn)至登錄頁(yè)面，這個(gè)過程與 sso-client 完全一樣。

sso-server驗(yàn)證用戶登錄信息

用戶在登錄頁(yè)面輸入用戶名密碼，請(qǐng)求登錄，sso 認(rèn)證中心校驗(yàn)用戶信息，校驗(yàn)成功，將會(huì)話狀態(tài)標(biāo)記為“已登錄”。

@RequestMapping("/login")
public?String?login(String?username,?String?password,?HttpServletRequest?req)?{
????this.checkLoginInfo(username,?password);
????req.getSession().setAttribute("isLogin",?true);
????return?"success";
}

sso-server創(chuàng)建授權(quán)令牌

授權(quán)令牌是一串隨機(jī)字符，以什么樣的方式生成都沒有關(guān)系，只要不重復(fù)、不易偽造即可，下面是一個(gè)例子。

String?token?=?UUID.randomUUID().toString();

sso-client取得令牌并校驗(yàn)

sso 認(rèn)證中心登錄后，跳轉(zhuǎn)回子系統(tǒng)并附上令牌，子系統(tǒng)（sso-client）取得令牌，然后去 sso 認(rèn)證中心校驗(yàn)，在LoginFilter.java的doFilter()中添加幾行。

//?請(qǐng)求附帶token參數(shù)
String?token?=?req.getParameter("token");
if?(token?!=?null)?{
????//?去sso認(rèn)證中心校驗(yàn)token
????boolean?verifyResult?=?this.verify("sso-server-verify-url",?token);
????if?(!verifyResult)?{
????????res.sendRedirect("sso-server-url");
????????return;
????}
????chain.doFilter(request,?response);
}

verify() 方法使用 httpClient 實(shí)現(xiàn)，這里僅簡(jiǎn)略介紹，httpClient 詳細(xì)使用方法請(qǐng)參考官方文檔。

HttpPost?httpPost?=?new?HttpPost("sso-server-verify-url-with-token");
HttpResponse?httpResponse?=?httpClient.execute(httpPost);

sso-server接收并處理校驗(yàn)令牌請(qǐng)求

用戶在 sso 認(rèn)證中心登錄成功后，sso-server 創(chuàng)建授權(quán)令牌并存儲(chǔ)該令牌，所以，sso-server 對(duì)令牌的校驗(yàn)就是去查找這個(gè)令牌是否存在以及是否過期，令牌校驗(yàn)成功后 sso-server 將發(fā)送校驗(yàn)請(qǐng)求的系統(tǒng)注冊(cè)到 sso 認(rèn)證中心（就是存儲(chǔ)起來的意思）。

令牌與注冊(cè)系統(tǒng)地址通常存儲(chǔ)在 key-value 數(shù)據(jù)庫(kù)（如 redis）中，redis 可以為 key 設(shè)置有效時(shí)間也就是令牌的有效期。redis 運(yùn)行在內(nèi)存中，速度非?？?，正好 sso-server 不需要持久化任何數(shù)據(jù)。

令牌與注冊(cè)系統(tǒng)地址可以用下圖描述的結(jié)構(gòu)存儲(chǔ)在 redis 中，可能你會(huì)問，為什么要存儲(chǔ)這些系統(tǒng)的地址？如果不存儲(chǔ)，注銷的時(shí)候就麻煩了，用戶向 sso 認(rèn)證中心提交注銷請(qǐng)求，sso 認(rèn)證中心注銷全局會(huì)話，但不知道哪些系統(tǒng)用此全局會(huì)話建立了自己的局部會(huì)話，也不知道要向哪些子系統(tǒng)發(fā)送注銷請(qǐng)求注銷局部會(huì)話。

sso-client校驗(yàn)令牌成功創(chuàng)建局部會(huì)話

令牌校驗(yàn)成功后，sso-client 將當(dāng)前局部會(huì)話標(biāo)記為“已登錄”，修改LoginFilter.java，添加幾行：

if?(verifyResult)?{
????session.setAttribute("isLogin",?true);
}

sso-client 還需將當(dāng)前會(huì)話 id 與令牌綁定，表示這個(gè)會(huì)話的登錄狀態(tài)與令牌相關(guān)，此關(guān)系可以用 java 的 hashmap 保存，保存的數(shù)據(jù)用來處理 sso 認(rèn)證中心發(fā)來的注銷請(qǐng)求。

注銷過程

用戶向子系統(tǒng)發(fā)送帶有logout參數(shù)的請(qǐng)求（注銷請(qǐng)求），sso-client 攔截器攔截該請(qǐng)求，向 sso 認(rèn)證中心發(fā)起注銷請(qǐng)求。

String?logout?=?req.getParameter("logout");
if?(logout?!=?null)?{
????this.ssoServer.logout(token);
}

sso 認(rèn)證中心也用同樣的方式識(shí)別出 sso-client 的請(qǐng)求是注銷請(qǐng)求（帶有“l(fā)ogout”參數(shù)），sso 認(rèn)證中心注銷全局會(huì)話。

@RequestMapping("/logout")
public?String?logout(HttpServletRequest?req)?{
????HttpSession?session?=?req.getSession();
????if?(session?!=?null)?{
????????session.invalidate();//觸發(fā)LogoutListener
????}
????return?"redirect:/";
}

sso 認(rèn)證中心有一個(gè)全局會(huì)話的監(jiān)聽器，一旦全局會(huì)話注銷，將通知所有注冊(cè)系統(tǒng)注銷。

public?class?LogoutListener?implements?HttpSessionListener?{
????@Override
????public?void?sessionCreated(HttpSessionEvent?event)?{}
????@Override
????public?void?sessionDestroyed(HttpSessionEvent?event)?{
????????//通過httpClient向所有注冊(cè)系統(tǒng)發(fā)送注銷請(qǐng)求
????}
}

如需本文案例的簡(jiǎn)單實(shí)現(xiàn)源碼，加我微信，分享給你！