1. SSO简介
单点登录(Single Sign-On,SSO)是一种身份验证机制,允许用户只登录一次即可访问多个应用程序或系统,从而提高用户体验和工作效率。SSO 的核心目标是简化用户登录流程,提升用户体验,同时保证安全性。
1.1 SSO的实现原理
SSO通常用一个身份验证服务提供商IdP(Identity Provider)来管理用户的身份验证信息,并将这些信息传递给需要身份验证的应用程序或系统。用户只需进行一次身份验证,就可以访问受保护的资源,无需再次输入凭据。
SSO流程:
- 用户首次访问一个需要身份验证的应用程序或系统。
- 应用程序或系统将用户重定向到IdP,用户在IdP上进行身份验证,通常是输入用户名和密码。
- IdP向用户颁发令牌Token,该令牌包含有关用户身份验证的信息。
- 用户被重定向回原始的应用程序或系统,并将令牌传递给该应用程序或系统,应用程序或系统使用令牌来验证用户身份,并授予用户访问权限。
- 如果用户访问其他需要身份验证的应用程序或系统,该应用程序或系统将使用相同的令牌到IdP进行用户身份验证。
1.2 常见的SSO的实现方式
SSO 可通过多种身份验证协议和技术来实现:
- 安全断言标记语言SAML:SAML(Security Assertion Markup Language)是一种基于XML的标准,用于在不同的安全域之间传递身份验证和授权数据。它允许用户在一个应用程序中进行身份验证,然后使用SAML令牌访问其他应用程序。
- 开放授权OAuth:OAuth(Open Authorization)是一种授权框架,用于授权第三方应用程序访问用户资源。它允许用户使用他们的凭据登录到一个应用程序,然后使用OAuth令牌访问其他应用程序。
- OpenID Connect:OpenID Connect(OIDC)是一种基于OAuth 2.0的身份验证协议,主要用于实现第三方应用程序等的社交登录。作为一种轻量级实现,OIDC/OAuth通常与SAML结合使用。
2. SSO示例
在现代微服务架构中,OAuth2 + JWT 是实现 SSO 的主流方案。Spring Boot 提供了 Spring Security OAuth2 客户端的支持,使得集成 SSO 变得简单高效。以下示例使用 OAuth2 协议,通过配置 Spring Boot 应用作为 OAuth2 客户端 ,实现 SSO 登录功能。该应用将使用外部认证服务器进行身份验证,用户登录一次后即可访问多个受保护的资源。
2.1 代码
step1.添加 Maven 依赖
XML
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>step2. 配置 application.properties
- 配置身份认证服务器(IDP)相关信息
java
# spring.security.oauth2.client.registration.oidc:该部分配置了 OAuth2 客户端的注册信息,包括客户端 ID、密钥、授权类型和回调地址等
spring.security.oauth2.client.registration.oidc.client-id=your-client-id
spring.security.oauth2.client.registration.oidc.client-secret=your-client-secret
spring.security.oauth2.client.registration.oidc.scope=profile, email
spring.security.oauth2.client.registration.oidc.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.oidc.redirect-uri={baseUrl}/login/oauth2/code/{registrationId}
# spring.security.oauth2.client.provider.oidc:该部分定义了认证服务器的端点地址,如授权地址、令牌地址、用户信息地址等
spring.security.oauth2.client.provider.oidc.authorization-uri=https://your-auth-server/oauth2/auth
spring.security.oauth2.client.provider.oidc.token-uri=https://your-auth-server/oauth2/token
spring.security.oauth2.client.provider.oidc.user-info-uri=https://your-auth-server/oauth2/userinfo
# user-name-attribute:指定用户信息中用于标识用户名的字段(例如 sub)
spring.security.oauth2.client.provider.oidc.user-name-attribute=substep3.安全配置类
java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest()
.authenticated()
.and()
.oauth2Login(); // 启用 OAuth2 登录流程
}
}step4.受保护资源的 Controller
java
@RestController
public class UserController {
//只有经过认证的用户才能访问"/user"
@GetMapping("/user")
public Principal currentUser(Principal principal) {
return principal; // 返回当前登录用户信息
}
}代码功能说明
/user接口:只有经过认证的用户才能访问,返回当前登录用户的基本信息。- OAuth2 登录流程 :用户访问
/login时,会跳转到配置的认证服务器进行登录,认证成功后自动回调到应用并创建会话。 - 令牌处理:Spring Security 会自动处理访问令牌的获取与验证,开发者无需手动处理 JWT 或访问令牌。
2.2 测试流程
- 启动应用后访问
/user,会被重定向到认证服务器的登录页。 - 用户登录后,认证服务器返回访问令牌。
- 用户被重定向回原应用,此时可访问受保护资源(如
/user)。
通过以上配置,Spring Boot 应用即可作为 OAuth2 客户端,实现单点登录功能。多个应用共享同一个认证服务器,用户只需登录一次即可访问所有授权的资源。这种方案适用于微服务架构或多个子系统的统一身份认证场景。