SSO系统的实现

当一个网站系统比较大型的时候，我们通常采用面向服务的编程，采用分布式的编程。各个子系统共同来实现一个大的系统，这时候登录注册功能的实现也面临着一些问题。

一、WHAT?

SSO是什么？

sso是单点登录系统，即单独的一个登录功能子系统，可以实现分布式系统的一次登录其他系统免登录的实现。

SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制（说到底就是提供登录注册接口，供其他系统调用，其他系统在每次使用的是调用接口，查看登录状态，如果登录了，则不需登录，更新session的时间，如果没有登录提示登录）

它是目前比较流行的企业业务整合的解决方案之一。

二、WHY?

当一个系统很大的时候，我们需要进行服务器的集群部署，需要多个服务器共同作用。当把一套代码部署在不同的服务器上时，因为分布式系统是由多个子系统（工程）构成，每个工程都有自己的独立的session，而此时如果session不共享，用户在使用系统的时候一旦跳转到另外一个工程，就提示用户名登录，这是个很烦躁的事情。

如上图，用户1访问了购物车信息，登录了信息，当访问订单系统时又提示登录系统，当访问安全系统的时候也提示登录。这是多么烦躁的事情。

三、解决方案

针对上述问题的解决方案有两种：

 第一种方案

可以配置tomcat的session共享。配置tomcat集群。Tomcat配置好集群后，会不停的向集群中其他的tomcat广播自己的session信息。其他的tomcat做session同步。可以保证所有的tomcatsession中的内容都是一致的。

优点：不用修改代码就可以实现session共享。

缺点：tomcat 是全局session复制，集群内每个tomcat的session完全同步（也就是任何时候都完全一样的) 在大规模应用的时候，用户过多，集群内tomcat数量过多，session的全局复制会导致集群性能下降， 因此，tomcat的数量不能太多，5个以下为好。

不能解决分布式工程的session共享问题。例如支付宝和淘宝单点登录的问题。

第二种方案

实现单点登录系统，提供服务接口。把session数据存放在redis。

Redis可以设置key的生存时间、访问速度快效率高。

优点：redis存取速度快，不会出现多个节点session复制的问题。效率高。

缺点：需要程序员开发。

上图的意思即：当用户需要访问会员中心时，需要访问论坛时，需要访问订单系统时，都需要去调用sso判断下该用户是否登录。

四、HOW?

下面来看下sso系统具体是如何实现的：

（1）校验、注册、登录接口的编写文档，详见博文sso接口文档

（2）根据接口文档进行编写接口的实现。

校验接口的需求分析：

编码的分析步骤如下：首先考虑是否有传入的参数，其次返回值是什么，第三对哪张表进行操作，第四开始编写框架层dao，service，controller

1.1   数据校验

1.1.1   需求分析

接收url中的两个参数：一个是要校验的内容，一个是要校验的数据类型。

type为类型，可选参数1、2、3分别代表username、phone、email

返回：TaotaoResult。Json格式的数据，需要支持jsonp。

请求的url：http://sso.taotao.com/user/check/{param}/{type}

1.1.2   Dao层

要查询的表：

tb_user

单表查询。可以使用逆向工程生成的代码。

1.1.3   Service层

接收两个参数：内容、内容类型。根据内容类型查询tb_user表返回Taotaoresult对象。Data属性值：返回数据，true：数据可用，false：数据不可用

@Service

public class UserServiceImpl implements UserService {

@Autowired

private TbUserMapper userMapper;

@Override

public TaotaoResult checkData(String content, Integer type) {

//创建查询条件

TbUserExample example = new TbUserExample();

Criteria criteria = example.createCriteria();

//对数据进行校验：1、2、3分别代表username、phone、email

//用户名校验

if (1 == type) {

criteria.andUsernameEqualTo(content);

//电话校验

} else if ( 2 == type) {

criteria.andPhoneEqualTo(content);

//email校验

} else {

criteria.andEmailEqualTo(content);

}

//执行查询

List<TbUser> list = userMapper.selectByExample(example);

if (list == null || list.size() == 0) {

return TaotaoResult.ok(true);

}

return TaotaoResult.ok(false);

}

}

1.1.4    Controller层

从url中接收两个参数，调用Service进行校验，在调用Service之前，先对参数进行校验，例如type必须是1、2、3其中之一。返回TaotaoResult。需要支持jsonp。

@Controller

@RequestMapping("/user")

public class UserController {

@Autowired

private UserService userService;

@RequestMapping("/check/{param}/{type}")

@ResponseBody

public Object checkData(@PathVariable String param, @PathVariable Integer type, String callback) {

TaotaoResult result = null;

//参数有效性校验

if (StringUtils.isBlank(param)) {

result = TaotaoResult.build(400, "校验内容不能为空");

}

if (type == null) {

result = TaotaoResult.build(400, "校验内容类型不能为空");

}

if (type != 1 && type != 2 && type != 3 ) {

result = TaotaoResult.build(400, "校验内容类型错误");

}

//校验出错

if (null != result) {

if (null != callback) {

MappingJacksonValue mappingJacksonValue = new MappingJacksonValue(result);

mappingJacksonValue.setJsonpFunction(callback);

return mappingJacksonValue;

} else {

return result;

}

}

//调用服务

try {

result = userService.checkData(param, type);

} catch (Exception e) {

result = TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

if (null != callback) {

MappingJacksonValue mappingJacksonValue = new MappingJacksonValue(result);

mappingJacksonValue.setJsonpFunction(callback);

return mappingJacksonValue;

} else {

return result;

}

}

}

1.2   用户注册

1.2.1   需求分析

请求方法为post，客户端提交表单。包含

username //用户名

password //密码

phone //手机号

email //邮箱

参数。

接收参数调用mapper向user表中添加记录。返回taotaoResult对象。如果成功200失败400异常500.

1.2.2   Dao层

可以使用逆向工程生成代码

1.2.3   Service层

接收TbUser对象，补全user的属性。向tb_user表插入记录。返回taoTaoResult。

@Override

public TaotaoResult createUser(TbUser user) {

user.setUpdated(new Date());

user.setCreated(new Date());

//md5加密

user.setPassword(DigestUtils.md5DigestAsHex(user.getPassword().getBytes()));

userMapper.insert(user);

return TaotaoResult.ok();

}

1.2.4   Controller层

接收提交的数据用户名、密码、电话、邮件。使用pojo接收。使用TbUser。调用Service向表中添加记录。返回TaotaoResult.

//创建用户

@RequestMapping("/register")

public TaotaoResult createUser(TbUser user) {

try {

TaotaoResult result = userService.createUser(user);

return result;

} catch (Exception e) {

return TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

}

1.2.5   测试

表单的content-type：application/x-www-form-urlencoded; charset=UTF-8

表单的内容：

2   用户登录接口

是一个post请求，包含用户和密码。接收用户名和密码，到数据库中查询，根据用户名查询用户信息，查到之后进行密码比对，需要对密码进行md5加密后进行比对。比对成功后说明登录成功，需要生成一个token可以使用UUID。需要把用户信息写入redis，key就是token，value就是用户信息。返回token字符串。

2.1   Dao层

查询数据库tb_user表。根据用户名查询用户信息。

2.2   Service层

接收两个参数用户名、密码。调用dao层查询用户信息。生成token，把用户信息写入redis。返回token。使用TaotaoResult包装。

/**

* 用户登录

* <p>Title: userLogin</p>

* <p>Description: </p>

* @param username

* @param password

* @return

* @see com.taotao.sso.service.UserService#userLogin(java.lang.String, java.lang.String)

*/

@Override

public TaotaoResult userLogin(String username, String password) {

TbUserExample example = new TbUserExample();

Criteria criteria = example.createCriteria();

criteria.andUsernameEqualTo(username);

List<TbUser> list = userMapper.selectByExample(example);

//如果没有此用户名

if (null == list || list.size() == 0) {

return TaotaoResult.build(400, "用户名或密码错误");

}

TbUser user = list.get(0);

//比对密码

if (!DigestUtils.md5DigestAsHex(password.getBytes()).equals(user.getPassword())) {

return TaotaoResult.build(400, "用户名或密码错误");

}

//生成token

String token = UUID.randomUUID().toString();

//保存用户之前，把用户对象中的密码清空。

user.setPassword(null);

//把用户信息写入redis

jedisClient.set(REDIS_USER_SESSION_KEY + ":" + token, JsonUtils.objectToJson(user));

//设置session的过期时间

jedisClient.expire(REDIS_USER_SESSION_KEY + ":" + token, SSO_SESSION_EXPIRE);

//返回token

return TaotaoResult.ok(token);

}

2.3   Controller层

接收表单，包含用户、密码。调用Service进行登录返回TaotaoResult。

//用户登录

@RequestMapping(value="/login", method=RequestMethod.POST)

@ResponseBody

public TaotaoResult userLogin(String username, String password) {

try {

TaotaoResult result = userService.userLogin(username, password);

return result;

} catch (Exception e) {

e.printStackTrace();

return TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

}

3   通过token查询用户信息

3.1   业务分析

根据token判断用户是否登录或者session是否过期。接收token，根据token到redis中取用户信息。判断token字符串是否对应用户信息，如果不对应说明token非法或者session已过期。取到了说明用户就是正常的登录状态。返回用户信息，同时重置用户的过期时间。

3.2   Dao层

使用JedisClient实现类。

3.3   Service层

接收token，调用dao，到redis中查询token对应的用户信息。返回用户信息并更新过期时间。

@Override

public TaotaoResult getUserByToken(String token) {

//根据token从redis中查询用户信息

String json = jedisClient.get(REDIS_USER_SESSION_KEY + ":" + token);

//判断是否为空

if (StringUtils.isBlank(json)) {

return TaotaoResult.build(400, "此session已经过期，请重新登录");

}

//更新过期时间

jedisClient.expire(REDIS_USER_SESSION_KEY + ":" + token, SSO_SESSION_EXPIRE);

//返回用户信息

return TaotaoResult.ok(JsonUtils.jsonToPojo(json, TbUser.class));

}

3.4   Controller层

接收token调用Service返回用户信息，使用TaotaoResult包装。

请求的url：

http://sso.taotao.com/user/token/{token}

@RequestMapping("/token/{token}")

@ResponseBody

public Object getUserByToken(@PathVariable String token, String callback) {

TaotaoResult result = null;

try {

result = userService.getUserByToken(token);

} catch (Exception e) {

e.printStackTrace();

result = TaotaoResult.build(500, ExceptionUtil.getStackTrace(e));

}

//判断是否为jsonp调用

if (StringUtils.isBlank(callback)) {

return result;

} else {

MappingJacksonValue mappingJacksonValue = new MappingJacksonValue(result);

mappingJacksonValue.setJsonpFunction(callback);

return mappingJacksonValue;

}

}