背景:
每个 web 应用都有自己的 session,那如何在分布式或者集群环境下统一 session,即如何实现单点登录,如下图
解决方案:
把 session 数据存放在 redis,统一管理,向外提供服务接口,redis 可以设置过期时间,对应 session 的失效时间
优点:存取速度快,效率高;无单点故障,可以部署集群;自定义登录页面(即每个应用都可以设计自己的登录页面)
缺点:必须部署 redis;所有程序自行开发,例如:登录、登出等。
系统架构,只关注 Taotao-sso 和 redis 缓存即可,如下图:
基于 redis 实现的单点登录这套方案比 SSO CAS 来说比较简单,容易上手,主要是依赖每个应用的拦截器和 redis 实现单点登录
SSO 需要提供的接口如下:
登录,根据用户名和密码查询数据库
public class OrderInterceptor implements HandlerInterceptor {
@Autowired
private UserService userService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
//取用户token
String token = CookieUtils.getCookieValue(request, "TT_TOKEN");
//判断是否为空
if (StringUtils.isBlank(token)) {
//如果为空就是未登录状态
//跳转到登录页面
response.sendRedirect(userService.getLoginUrl() + "?redirect=" + getBaseURL(request));
return false;
} else {
//如果能取到token说明用户可能已经登录
//从sso中取用户信息,判断用户是否登录
TbUser user = userService.getUserByToken(token);
//判断用户是否过期
if (user == null) {
//跳转到登录页面
response.sendRedirect(userService.getLoginUrl() + "?redirect=" + getBaseURL(request));
return false;
} else {
//用户已经登录,把用户信息放到request中
request.setAttribute("user", user);
}
}
//放行
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
// TODO Auto-generated method stub
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub
}
private String getBaseURL(HttpServletRequest request) {
String url = request.getScheme()
+ "://"
+ request.getServerName()
+ ":"
+ request.getServerPort()
+ request.getContextPath()
+ request.getRequestURI();
return url;
}
}
主要的流程已描述了,是不是比较简单;但这个方案还有一点瑕疵,就是跨域获取不了 cookie,这个也是有解决方案的,以后有时间再补充。