Smart-SSO
QQ交流群:454343484、769134727
简介
Smart-SSO 基于当前备受青睐的SpringBoot技术,结合OAuth2认证和RBAC权限设计,为您打造一个轻量级、高可用的单点认证授权中心。
相关文档
- Smart-SSO单点登录(一):介绍
- Smart-SSO单点登录(二):快速开始
- Smart-SSO单点登录(三):接入指南
- Smart-SSO单点登录(四):前后端分离
- Smart-SSO单点登录(五):分布式部署
功能说明
-
轻量级: 基于SpringBoot和OAuth2协议的授权码模式极简实现;
-
单点退出: 客户端应用获取Token时,隐式传递自身注销地址给服务端,任意客户端应用退出时,服务端通知所有客户端应用注销本地Token,实现单点退出;
-
自动续签: 采用OAuth2协议的accessToken策略,客户端后端自动调用refreshToken刷新接口,更新服务端凭证存根时效,实现过期自动续签;
-
跨域支持: 支持服务端和客户端位于不同域名下,实现跨域单点登录和退出机制;
-
前后端分离: 在前后端分离架构(无Cookie模式)下,轻松实现单点登录相关功能;
-
按钮级权限: 服务端将权限分为菜单和按钮类型,通过匹配请求uri和方法实现按钮级权限控制;
-
分布式部署: 服务端和客户端均支持基于Redis共享Token的多实例部署场景;
为何选择OAuth2?
以下是常见SSO认证方式的对比:
特性 | 传统Token | JWT | OAuth2 |
---|---|---|---|
单点登录 | 支持 | 支持 | 支持 |
单点退出 | 支持 | 较难实现 | 支持 |
踢人下线 | 支持 | 较难实现 | 支持 |
过期续签 | 较难实现 | 支持 | 支持 |
性能 | 一般 | 高 | 较好 |
安全性 | 一般 | 较好 | 高 |
复杂度 | 一般 | 较高 | 高 |
解释:
传统Token方式原理简单,服务端生成随机字符串作为令牌,在客户端与服务器间传递验证身份。但缺乏时效和刷新机制,难以实现自动续签,且需频繁调用服务端校验Token。适用于小型项目或性能安全要求不高的场景。
JWT因无状态特性,服务端只需存储密钥,无需存储Token信息,减轻服务端存储压力。但在SSO场景中,实现单点退出和踢人下线功能较困难,通常需依赖后端存储Token并结合注销远程通知或共享存储实现,与JWT理念相悖。对安全性要求极高的项目,这些功能不可或缺。 OAuth2 通常用于第三方应用的授权登录,完全适用于单点登录(SSO)场景,只是实现难度较高。它天生具备令牌的有效期和刷新机制,可以实现令牌续签,而 JWT 则需要改进为双令牌方式才能完成。对于每个需要接入 OAuth2 认证授权中心的应用,必须在其服务端进行注册,并获得密钥信息(ClientId、ClientSecret),只有这样才能按流程获取令牌。这种方式可以对用户身份(获取授权码阶段)和客户端应用身份(获取访问令牌阶段)进行双重验证。对认证授权系统而言,登录成功后的首要任务是获取用户在当前应用的权限信息,因此服务端必须针对用户的每个客户端应用分别颁发令牌,不能仅凭从单一客户端应用获取的令牌就获得认证授权中心管理的所有应用资源权限,这也符合 OAuth2 的初衷。
结论: Smart-SSO 决定采用 OAuth2 进行构建。为了弥补其不足,对部分功能进行了细致升级。例如,客户端后端对令牌进行了缓存,用户携带令牌的请求能在客户端应用本地完成验证,大大减少了客户端应用与服务端的交互。续签机制也有所改进,当客户端本地的令牌失效后,由客户端后端向服务端发起刷新令牌请求,重新生成令牌并写回前端,同时延长服务端凭证存根的有效期,从而实现过期自动续签功能。
技术选型
技术 | 版本 | 说明 |
---|---|---|
spring-boot | 2.5.13 | 容器 + MVC框架 |
spring-boot-starter-data-redis | 2.5.13 | 分布式场景令牌管理 |
spring-boot-starter-freemarker | 2.5.13 | 模板引擎 |
springfox-boot-starter | 3.0.0 | 文档 |
mybatis-plus-boot-starter | 3.5.2 | ORM框架 |
mysql-connector-java | 8.0.28 | 数据库驱动 |
httpclient | 4.5.14 | 授权码认证,客户端和服务端通信 |
数据库模型
项目结构
smart-sso
├── smart-sso-demo -- 客户端示例
├── smart-sso-demo-h5 -- 前后端分离客户端示例
├── smart-sso-server -- 单点登录权限管理服务端
├── smart-sso-starter -- 依赖装配模块
│ ├── smart-sso-starter-base -- 公用的基础依赖装配
│ ├── smart-sso-starter-client -- 客户端依赖装配
│ ├── smart-sso-starter-client-redis -- 客户端依赖装配,分布式部署场景redis支持
│ ├── smart-sso-starter-server -- 服务端依赖装配
│ ├── smart-sso-starter-server-redis -- 服务端依赖装配,分布式部署场景redis支持
模块依赖关系
注: 1.红色实线可理解为服务端也需要单点登录,同样是其自身的一个客户端; 2.红色虚线表示无论是服务端还是客户端,当需要集群部署时,可选用Redis版本的依赖来实现令牌共享;
单点登录原理
单点退出原理
效果展示
单点登录页
客户端示例登录成功页
服务端管控页
服务端管控页手机端效果