lsm/sa-token
1
0
Fork 0
mirror of https://gitee.com/dromara/sa-token.git synced 2025-04-05 17:37:53 +08:00
Code Issues Actions Packages Projects Releases Wiki Activity

单点登录:模式二

Browse Source
This commit is contained in:
click33 2021-06-26 23:30:29 +08:00
parent 18757a23d2
commit c6d5467db7
32 changed files with 913 additions and 92 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

24
sa-token-core/src/main/java/cn/dev33/satoken/sso/SaSsoInterface.java
View File

@ -21,7 +21,7 @@ public interface SaSsoInterface {
*/
public default String createTicket(Object loginId) {
// 随机一个ticket
String ticket = SaFoxUtil.getRandomString(64);
String ticket = randomTicket(loginId);
// 保存入库
long ticketTimeout = SaManager.getConfig().getSso().getTicketTimeout();
@ -97,9 +97,15 @@ public interface SaSsoInterface {
throw new SaTokenException("无效回调地址:" + url);
}
// 2是否在[允许地址列表]之中
String authUrl = SaManager.getConfig().getSso().getAllowUrl();
List<String> authUrlList = Arrays.asList(authUrl.split(","));
// 2截取掉?后面的部分
int qIndex = url.indexOf("?");
if(qIndex != -1) {
url = url.substring(0, qIndex);
}
// 3是否在[允许地址列表]之中
String authUrl = SaManager.getConfig().getSso().getAllowUrl().replaceAll(" ", "");
List<String> authUrlList = Arrays.asList(authUrl.split(","));
if(SaManager.getSaTokenAction().hasElement(authUrlList, url) == false) {
throw new SaTokenException("非法回调地址:" + url);
}
@ -155,6 +161,15 @@ public interface SaSsoInterface {
url = url.substring(0, index + length) + back;
return url;
}
/**
* 随机一个 Ticket码
* @param loginId 账号id
* @return 票据
*/
public default String randomTicket(Object loginId) {
return SaFoxUtil.getRandomString(64);
}
// ------------------- 返回相应key -------------------
@ -176,5 +191,6 @@ public interface SaSsoInterface {
public default String splicingKeyIdToTicket(Object id) {
return SaManager.getConfig().getTokenName() + ":id-ticket:" + id;
}
}

2
sa-token-demo/sa-token-demo-alone-redis/pom.xml
View File

@ -51,7 +51,7 @@
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- Sa-Token插件独立使用一个Redis -->
<!-- Sa-Token插件权限缓存与业务缓存分离 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-alone-redis</artifactId>

13
sa-token-demo/sa-token-demo-sso-client/pom.xml
View File

@ -21,7 +21,7 @@
<dependencies>
<!-- springboot依赖 -->
<!-- SpringBoot依赖 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
@ -34,19 +34,26 @@
<version>${sa-token-version}</version>
</dependency>
<!-- sa-token整合redis (使用jackson序列化方式) -->
<!-- Sa-Token 整合redis (使用jackson序列化方式) -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-dao-redis-jackson</artifactId>
<version>${sa-token-version}</version>
</dependency>
<!-- 提供redis连接池 -->
<!-- 提供Redis连接池 -->
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- Sa-Token插件权限缓存与业务缓存分离 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-alone-redis</artifactId>
<version>1.20.0</version>
</dependency>
</dependencies>

6
sa-token-demo/sa-token-demo-sso-client/src/main/java/com/pj/SaSsoClientApplication.java
View File

@ -3,8 +3,6 @@ package com.pj;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import cn.dev33.satoken.SaManager;
/**
* Sa-Token整合SpringBoot 示例
* @author kong
@ -13,9 +11,9 @@ import cn.dev33.satoken.SaManager;
@SpringBootApplication
public class SaSsoClientApplication {
public static void main(String[] args) throws ClassNotFoundException {
public static void main(String[] args) {
SpringApplication.run(SaSsoClientApplication.class, args);
System.out.println("\nSa-Token-SSO客户端启动成功Sa-Token配置如下" + SaManager.getConfig());
System.out.println("\nSa-Token-SSO Client端启动成功");
}
}

14
sa-token-demo/sa-token-demo-sso-client/src/main/java/com/pj/sso/SsoClientController.java
View File

@ -15,11 +15,19 @@ import cn.dev33.satoken.stp.StpUtil;
@RestController
public class SsoClientController {
// Client端登录地址
// SSO-Client端首页
@RequestMapping("/")
public String index() {
String str = "<h2>Sa-Token SSO-Client 应用端</h2>" +
"<p>当前会话是否登录:" + StpUtil.isLogin() + "</p>" +
"<p><a href=\"javascript:location.href='/ssoLogin?back=' + lencodeURIComponent(location.href);\">登录</a></p>";
return str;
}
// SSO-Client端登录地址
@RequestMapping("ssoLogin")
public Object login(String back, String ticket) {
// 如果当前已经登录则无需访问SSO认证中心可以直接返回
System.out.println("是否已登录:" + StpUtil.isLogin());
// 如果当前Client端已经登录则无需访问SSO认证中心可以直接返回
if(StpUtil.isLogin()) {
return new ModelAndView("redirect:" + back);
}

46
sa-token-demo/sa-token-demo-sso-client/src/main/resources/application.yml
View File

@ -15,29 +15,31 @@ spring:
sso:
# SSO-Server端授权地址
server-url: http://sa-sso-server.com:9000/ssoAuth
# 接口调用秘钥(模式三才会用到此参数)
# secret-key:
# redis配置
redis:
# Redis数据库索引默认为0
database: 0
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口
port: 6379
# Redis服务器连接密码默认为空
password:
# 连接超时时间(毫秒)
timeout: 10ms
lettuce:
pool:
# 连接池最大连接数
max-active: 200
# 连接池最大阻塞等待时间(使用负值表示没有限制)
max-wait: -1ms
# 连接池中的最大空闲连接
max-idle: 10
# 连接池中的最小空闲连接
min-idle: 0
# 配置Sa-Token单独使用的Redis连接 此处需要和SSO-Server端连接同一个Redis
alone-redis:
# Redis数据库索引
database: 1
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口
port: 6379
# Redis服务器连接密码默认为空
password:
# 连接超时时间(毫秒)
timeout: 10ms
lettuce:
pool:
# 连接池最大连接数
max-active: 200
# 连接池最大阻塞等待时间(使用负值表示没有限制)
max-wait: -1ms
# 连接池中的最大空闲连接
max-idle: 10
# 连接池中的最小空闲连接
min-idle: 0

10
sa-token-demo/sa-token-demo-sso-server/pom.xml
View File

@ -21,7 +21,7 @@
<dependencies>
<!-- springboot依赖 -->
<!-- SpringBoot依赖 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
@ -34,7 +34,7 @@
<version>${sa-token-version}</version>
</dependency>
<!-- sa-token整合redis (使用jackson序列化方式) -->
<!-- Sa-Token整合redis (使用jackson序列化方式) -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-dao-redis-jackson</artifactId>
@ -47,6 +47,12 @@
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- 视图引擎 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
</dependencies>

6
sa-token-demo/sa-token-demo-sso-server/src/main/java/com/pj/SaSsoServerApplication.java
View File

@ -3,8 +3,6 @@ package com.pj;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import cn.dev33.satoken.SaManager;
/**
* Sa-Token整合SpringBoot 示例
* @author kong
@ -13,9 +11,9 @@ import cn.dev33.satoken.SaManager;
@SpringBootApplication
public class SaSsoServerApplication {
public static void main(String[] args) throws ClassNotFoundException {
public static void main(String[] args) {
SpringApplication.run(SaSsoServerApplication.class, args);
System.out.println("\nSa-Token-SSO 服务端启动成功Sa-Token配置如下" + SaManager.getConfig());
System.out.println("\nSa-Token-SSO 认证中心启动成功");
}
}

12
sa-token-demo/sa-token-demo-sso-server/src/main/java/com/pj/sso/SsoServerController.java
View File

@ -21,16 +21,17 @@ public class SsoServerController {
@RequestMapping("ssoAuth")
public Object ssoAuth(String redirect) {
/*
* 两种情况分开处理
* 此处两种情况分开处理
* 1如果在SSO认证中心尚未登录则先去登登录
* 2如果在SSO认证中心尚已登录则开始对redirect地址下放ticket引导授权
*/
// 情况1尚未登录
if(StpUtil.isLogin() == false) {
String msg = "当前会话在SSO-Server端尚未登录请先访问"
+ "<a href='/doLogin?name=sa&pwd=123456' target='_blank'> doLogin登录 </a>"
+ "进行登录之后,刷新页面开始授权";
return msg;
// String msg = "当前会话在SSO-Server端尚未登录请先访问"
// + "<a href='/doLogin?name=sa&pwd=123456' target='_blank'> doLogin登录 </a>"
// + "进行登录之后,刷新页面开始授权";
// return msg;
return new ModelAndView("sa-login.html");
}
// 情况2已经登录开始构建授权重定向地址下放ticket
String redirectUrl = SaSsoUtil.buildRedirectUrl(StpUtil.getLoginId(), redirect);
@ -40,6 +41,7 @@ public class SsoServerController {
// SSO-Server端登录接口
@RequestMapping("doLogin")
public AjaxJson doLogin(String name, String pwd) {
// 此处仅做模拟登录真实环境应该查询数据进行登录
if("sa".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return AjaxJson.getSuccess("登录成功!");

22
sa-token-demo/sa-token-demo-sso-server/src/main/resources/application.yml
View File

@ -5,21 +5,19 @@ server:
spring:
# Sa-Token配置
sa-token:
# Token名称
token-name: satoken
# Token有效期
timeout: 2592000
# Token风格
token-style: uuid
# SSO单点登录-相关配置
# sso:
# allow-url: http*
# SSO-相关配置
sso:
# Ticket有效期 (单位: 秒),默认三分钟
ticket-timeout: 300
# 所有允许的授权回调地址 (此处为了方便测试配置为*,线上生产环境一定要配置为详细地地址)
allow-url: http://sa-sso-client1.com:9001/ssoLogin, http://sa-sso-client2.com:9001/ssoLogin, http://sa-sso-client3.com:9001/ssoLogin
# 接口调用秘钥(模式三才会用到此参数)
# secret-key:
# redis配置
# Redis配置
redis:
# Redis数据库索引默认为0
database: 0
database: 1
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口

2
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/jquery.min.js vendored Normal file
View File

File diff suppressed because one or more lines are too long

2
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/layer.js Normal file
View File

File diff suppressed because one or more lines are too long

2
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/mobile/layer.js Normal file
View File

@ -0,0 +1,2 @@
/*! layer mobile-v2.0.0 Web弹层组件 MIT License http://layer.layui.com/mobile By 贤心 */
;!function(e){"use strict";var t=document,n="querySelectorAll",i="getElementsByClassName",a=function(e){return t[n](e)},s={type:0,shade:!0,shadeClose:!0,fixed:!0,anim:"scale"},l={extend:function(e){var t=JSON.parse(JSON.stringify(s));for(var n in e)t[n]=e[n];return t},timer:{},end:{}};l.touch=function(e,t){e.addEventListener("click",function(e){t.call(this,e)},!1)};var r=0,o=["layui-m-layer"],c=function(e){var t=this;t.config=l.extend(e),t.view()};c.prototype.view=function(){var e=this,n=e.config,s=t.createElement("div");e.id=s.id=o[0]+r,s.setAttribute("class",o[0]+" "+o[0]+(n.type||0)),s.setAttribute("index",r);var l=function(){var e="object"==typeof n.title;return n.title?'<h3 style="'+(e?n.title[1]:"")+'">'+(e?n.title[0]:n.title)+"</h3>":""}(),c=function(){"string"==typeof n.btn&&(n.btn=[n.btn]);var e,t=(n.btn||[]).length;return 0!==t&&n.btn?(e='<span yes type="1">'+n.btn[0]+"</span>",2===t&&(e='<span no type="0">'+n.btn[1]+"</span>"+e),'<div class="layui-m-layerbtn">'+e+"</div>"):""}();if(n.fixed||(n.top=n.hasOwnProperty("top")?n.top:100,n.style=n.style||"",n.style+=" top:"+(t.body.scrollTop+n.top)+"px"),2===n.type&&(n.content='<i></i><i class="layui-m-layerload"></i><i></i><p>'+(n.content||"")+"</p>"),n.skin&&(n.anim="up"),"msg"===n.skin&&(n.shade=!1),s.innerHTML=(n.shade?"<div "+("string"==typeof n.shade?'style="'+n.shade+'"':"")+' class="layui-m-layershade"></div>':"")+'<div class="layui-m-layermain" '+(n.fixed?"":'style="position:static;"')+'><div class="layui-m-layersection"><div class="layui-m-layerchild '+(n.skin?"layui-m-layer-"+n.skin+" ":"")+(n.className?n.className:"")+" "+(n.anim?"layui-m-anim-"+n.anim:"")+'" '+(n.style?'style="'+n.style+'"':"")+">"+l+'<div class="layui-m-layercont">'+n.content+"</div>"+c+"</div></div></div>",!n.type||2===n.type){var d=t[i](o[0]+n.type),y=d.length;y>=1&&layer.close(d[0].getAttribute("index"))}document.body.appendChild(s);var u=e.elem=a("#"+e.id)[0];n.success&&n.success(u),e.index=r++,e.action(n,u)},c.prototype.action=function(e,t){var n=this;e.time&&(l.timer[n.index]=setTimeout(function(){layer.close(n.index)},1e3*e.time));var a=function(){var t=this.getAttribute("type");0==t?(e.no&&e.no(),layer.close(n.index)):e.yes?e.yes(n.index):layer.close(n.index)};if(e.btn)for(var s=t[i]("layui-m-layerbtn")[0].children,r=s.length,o=0;o<r;o++)l.touch(s[o],a);if(e.shade&&e.shadeClose){var c=t[i]("layui-m-layershade")[0];l.touch(c,function(){layer.close(n.index,e.end)})}e.end&&(l.end[n.index]=e.end)},e.layer={v:"2.0",index:r,open:function(e){var t=new c(e||{});return t.index},close:function(e){var n=a("#"+o[0]+e)[0];n&&(n.innerHTML="",t.body.removeChild(n),clearTimeout(l.timer[e]),delete l.timer[e],"function"==typeof l.end[e]&&l.end[e](),delete l.end[e])},closeAll:function(){for(var e=t[i](o[0]),n=0,a=e.length;n<a;n++)layer.close(0|e[0].getAttribute("index"))}},"function"==typeof define?define(function(){return layer}):function(){var e=document.scripts,n=e[e.length-1],i=n.src,a=i.substring(0,i.lastIndexOf("/")+1);n.getAttribute("merge")||document.head.appendChild(function(){var e=t.createElement("link");return e.href=a+"need/layer.css?2.0",e.type="text/css",e.rel="styleSheet",e.id="layermcss",e}())}()}(window);

1
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/mobile/need/layer.css Normal file
View File

File diff suppressed because one or more lines are too long

BIN
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/theme/default/icon-ext.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 5.8 KiB

BIN
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/theme/default/icon.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 11 KiB

1
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/theme/default/layer.css Normal file
View File

File diff suppressed because one or more lines are too long

BIN
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/theme/default/loading-0.gif Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 5.7 KiB

BIN
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/theme/default/loading-1.gif Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 701 B

BIN
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/layer/theme/default/loading-2.gif Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 1.7 KiB

59
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/login.css Normal file
View File

@ -0,0 +1,59 @@
*{margin: 0; padding: 0;}
body{font-family: Helvetica Neue,Helvetica,PingFang SC,Tahoma,Arial,sans-serif;}
::-webkit-input-placeholder{color: #ccc;}
/* 视图盒子 */
.view-box{position: relative; width: 100vw; height: 100vh; overflow: hidden;}
/* 背景 EAEFF3 */
.bg-1{height: 50%; background: linear-gradient(to bottom right, #0466c5, #3496F5);}
.bg-2{height: 50%; background-color: #EAEFF3;}
/* 渐变背景 */
/*.bg-1{
background-size: 500%;
background-image: linear-gradient(125deg,#0466c5,#3496F5,#0466c5,#3496F5,#0466c5,#2496F5);
animation: bganimation 30s infinite;
}
@keyframes bganimation{
0%{background-position: 0% 50%;}
50%{background-position: 100% 50%;}
100%{background-position: 0% 50%;}
} */
/* 背景 */
.bg-1{background: #101C34;}
.bg-2{background: #101C34;}
/* .bg-1{height: 100%; background-image: url(./login-bg.png); background-size: 100% 100%;} */
/* 内容盒子 */
.content-box{position: absolute; width: 100vw; height: 100vh; top: 0px;}
/* 登录盒子 */
/* .login-box{width: 400px; height: 400px; position: absolute; left: calc(50% - 200px); top: calc(50% - 200px); max-width: 90%; } */
.login-box{width: 400px; margin: auto; max-width: 90%; height: 100%;}
.login-box{display: flex; align-items: center; text-align: center;}
/* 表单 */
.from-box{flex: 1; padding: 20px 50px; background-color: #FFF;}
.from-box{border-radius: 1px; box-shadow: 1px 1px 20px #666;}
.from-title{margin-top: 20px; margin-bottom: 30px; text-align: center;}
/* 输入框 */
.from-item{border: 0px #000 solid; margin-bottom: 15px;}
.s-input{width: 100%; line-height: 32px; height: 32px; text-indent: 1em; outline: 0; border: 1px #ccc solid; border-radius: 3px; transition: all 0.2s;}
.s-input{font-size: 12px;}
.s-input:focus{border-color: #409eff}
/* 登录按钮 */
.s-btn{ text-indent: 0; cursor: pointer; background-color: #409EFF; border-color: #409EFF; color: #FFF;}
.s-btn:hover{background-color: #50aEFF;}
/* 重置按钮 */
.reset-box{text-align: left; font-size: 12px;}
.reset-box a{text-decoration: none;}
.reset-box a:hover{text-decoration: underline;}
/* loading框样式 */
.ajax-layer-load.layui-layer-dialog{min-width: 0px !important; background-color: rgba(0,0,0,0.85);}
.ajax-layer-load.layui-layer-dialog .layui-layer-content{padding: 10px 20px 10px 40px; color: #FFF;}
.ajax-layer-load.layui-layer-dialog .layui-layer-content .layui-layer-ico{width: 20px; height: 20px; background-size: 20px 20px; top: 12px; }

65
sa-token-demo/sa-token-demo-sso-server/src/main/resources/static/sa-res/login.js Normal file
View File

@ -0,0 +1,65 @@
// sa
var sa = {};
// 打开loading
sa.loading = function(msg) {
layer.closeAll(); // 开始前先把所有弹窗关了
return layer.msg(msg, {icon: 16, shade: 0.3, time: 1000 * 20, skin: 'ajax-layer-load' });
};
// 隐藏loading
sa.hideLoading = function() {
layer.closeAll();
};
// ----------------------------------- 登录事件 -----------------------------------
$('.login-btn').click(function(){
sa.loading("正在登录...");
// 开始登录
setTimeout(function() {
$.ajax({
url: "doLogin",
type: "post",
data: {
name: $('[name=name]').val(),
pwd: $('[name=pwd]').val()
},
dataType: 'json',
success: function(res){
console.log('返回数据:', res);
sa.hideLoading();
if(res.code == 200) {
layer.msg('登录成功', {anim: 0, icon: 6 });
setTimeout(function() {
location.reload();
}, 800)
} else {
layer.msg(res.msg, {anim: 6, icon: 2 });
}
},
error: function(xhr, type, errorThrown){
sa.hideLoading();
if(xhr.status == 0){
return layer.alert('无法连接到服务器,请检查网络');
}
return layer.alert("异常:" + JSON.stringify(xhr));
}
});
}, 400);
});
// 绑定回车事件
$('[name=name],[name=pwd]').bind('keypress', function(event){
if(event.keyCode == "13") {
$('.login-btn').click();
}
});
// 输入框获取焦点
$("[name=name]").focus();
// 打印信息
var str = "This page is provided by Sa-Token, Please refer to: " + "http://sa-token.dev33.cn/";
console.log(str);

45
sa-token-demo/sa-token-demo-sso-server/src/main/resources/templates/sa-login.html Normal file
View File

@ -0,0 +1,45 @@
<!DOCTYPE html>
<html lang="zh">
<head>
<title>Sa-SSO-Server 认证中心-登录</title>
<meta charset="utf-8">
<base th:href="@{/}" />
<meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0, user-scalable=no">
<link rel="stylesheet" href="./sa-res/login.css">
</head>
<body>
<div class="view-box">
<div class="bg-1"></div>
<div class="bg-2"></div>
<div class="content-box">
<div class="login-box">
<div class="from-box">
<h2 class="from-title">Sa-SSO-Server 认证中心</h2>
<div class="from-item">
<input class="s-input" name="name" placeholder="请输入账号" />
</div>
<div class="from-item">
<input class="s-input" name="pwd" type="password" placeholder="请输入密码" />
</div>
<div class="from-item">
<button class="s-input s-btn login-btn">登录</button>
</div>
<div class="from-item reset-box">
<a href="javascript: location.reload();" >刷新</a>
</div>
</div>
</div>
</div>
<!-- 底部 版权 -->
<div style="position: absolute; bottom: 40px; width: 100%; text-align: center; color: #666;">
This page is provided by Sa-Token-SSO
</div>
</div>
<!-- scripts -->
<script src="./sa-res/jquery.min.js"></script>
<script src="./sa-res/layer/layer.js"></script>
<script src="./sa-res/login.js"></script>
</body>
</html>

3
sa-token-doc/doc/_sidebar.md
View File

@ -31,8 +31,9 @@
- **进阶**
- [全局过滤器](/use/global-filter)
- [集群、分布式](/senior/dcs)
- [单点登录](/senior/sso)
<!-- - [单点登录](/senior/sso) -->
- [多账号验证](/use/many-account)
- [单点登录](/sso/readme)
- **插件**
- [AOP注解鉴权](/plugin/aop-at)

38
sa-token-doc/doc/index.html
View File

@ -68,6 +68,7 @@
},
// search: 'auto', // 搜索功能
alias: {
'/sso/_sidebar.md': '/sso/_sidebar.md',
'/.*/_sidebar.md': '/_sidebar.md'
},
// tab选项卡
@ -80,21 +81,23 @@
},
plugins: [ // 自定义插件
function(hook, vm) {
// 解析之后执行
// 每次路由切换时,解析内容之后执行
hook.afterEach(function(html) {
var url = 'https://gitee.com/dromara/sa-token/tree/dev/sa-token-doc/doc/' + vm.route.file;
var url2 = 'https://github.com/dromara/sa-token/tree/dev/sa-token-doc/doc/' + vm.route.file;
var footer = [
'<br/><br/><br/><br/><br/><br/><br/><hr/>',
'<footer>',
'<span>发现错误?想参与编辑? 在 <a href="' + url + '" target="_blank">Gitee</a><a href="' + url2 +
'" target="_blank">GitHub</a> 上编辑此页!</span>',
'<span>发现错误? 在 <a href="' + url + '" target="_blank">Gitee</a><a href="' + url2 +
'" target="_blank">GitHub</a> 帮助我们完善此页文档!</span>',
'<a href="https://jq.qq.com/?_wv=1027&k=45H977HM" target="_blank">点我加入QQ群</a>交流反馈',
'</footer>'
].join('');
return html + footer;
});
// 每次路由切换时数据全部加载完成后调用,没有参数。
hook.doneEach(function() {
// 添加代码行数样式
$('pre code').each(function(){
var lines = $(this).text().split('\n').length;
var $numbering = $('<ul/>').addClass('code-line-box');
@ -107,6 +110,9 @@
}
});
});
// 初始化并第一次加载完成数据后调用,没有参数。
hook.ready(function() {
});
}
],
}
@ -151,32 +157,6 @@
})();
</script>
<!-- Gitalk评论 -->
<link rel="stylesheet" href="https://unpkg.zhimg.com/gitalk@1.7.0/dist/gitalk.css">
<script src="https://unpkg.zhimg.com/docsify@4.11.6/lib/plugins/gitalk.min.js"></script>
<script src="https://unpkg.zhimg.com/gitalk@1.7.0/dist/gitalk.min.js"></script>
<script>
function f5Gitalk() {
var id = location.hash.replace('#', '');
if(id.indexOf('?') > -1) {
id = id.substr(0, id.indexOf('?'));
}
window.gitalk = new Gitalk({
id: id,
clientID: '19939399448841f818a1',
clientSecret: 'af67e0cc14a0f36e171895771c330471cfe36c23',
repo: 'sa-token', // 仓库名称
owner: 'dromara',
admin: ['click33'], // 管理员列表
// facebook-like distraction free mode
distractionFreeMode: false
})
}
f5Gitalk();
window.onhashchange = function() {
f5Gitalk();
}
</script>
</body>
</html>

7
sa-token-doc/doc/lib/index.css
View File

@ -19,6 +19,7 @@ body{font-family: -apple-system,BlinkMacSystemFont,Segoe UI,Roboto,Oxygen,Ubuntu
/* 调整一下左侧树的字体样式 */
.sidebar .sidebar-nav>ul>li>p{font-size: 1.2em; margin-top: 10px;}
.sidebar .sidebar-nav>ul>li> strong{font-size: 1.2em; margin-top: 10px;}
.sidebar ul li a{color: #222;}
.sidebar .sidebar-nav>ul>li>ul>li>a{/* color: #222; */font-size: 16px; /* font-weight: 700; */}
@ -26,9 +27,9 @@ body{font-family: -apple-system,BlinkMacSystemFont,Segoe UI,Roboto,Oxygen,Ubuntu
[alt=github-chart]{max-width: 897px;}
/* 大屏幕时,某些图片限制一下宽度 */
@media screen and (min-width: 800px) {
[title=s-w]{max-width: 80%;}
[title=s-w],[title=s-w-sh]{max-width: 80%;}
}
[title=s-w-sh]{display: inline-block; border: 1px #eee solid;}
/* 公众号table */
.gzh-table{ /* table-layout:fixed !important; */}
@ -89,3 +90,5 @@ body{font-family: -apple-system,BlinkMacSystemFont,Segoe UI,Roboto,Oxygen,Ubuntu
.code-line-box {padding: calc(1.5em + 1px) 0px !important; padding-bottom: calc(1.5em + 20px) !important; margin: 0px !important;}
.code-line-box {line-height: inherit !important; background-color: #111; color: #aaa;font-weight: 400;font-size: 0.85em;text-align: center;}
.code-line-box {font-family: source-code-pro,Menlo,Monaco,Consolas,Courier New,monospace;}

1
sa-token-doc/doc/plugin/alone-redis.md
View File

@ -13,6 +13,7 @@ Sa-Token默认的Redis集成方式会把权限数据和业务缓存放在一起
### 1、首先引入Alone-Redis依赖
``` xml
<!-- Sa-Token插件权限缓存与业务缓存分离 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-alone-redis</artifactId>

13
sa-token-doc/doc/sso/_sidebar.md Normal file
View File

@ -0,0 +1,13 @@
<!-- 这是目录树文件 -->
<!-- 这是目录树文件 -->
- **单点登录**
- [单点登录简述](/sso/readme)
- [SSO模式一 共享Cookie同步会话](/sso/sso-type1)
- [SSO模式二 URL重定向传播会话](/sso/sso-type2)
- [SSO模式三 SSO认证中心开放接口](/sso/sso-type3)
<!-- <br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/><br/>
<p style="text-align: center; ">----- 到底线了 -----</p> -->

41
sa-token-doc/doc/sso/readme.md Normal file
View File

@ -0,0 +1,41 @@
# Sa-Token-SSO 单点登录模块
---
### 什么是单点登录?解决什么问题?
举个场景假设我们的系统被切割成N个部分商城、论坛、直播、社交…… 如果用户每访问其中一个模块都要进行一次登录注册,那么用户将会疯掉,
为了不让用户疯掉我们急需一套机制将这N个系统的授权进行共享让用户在其中一个系统登录之后便可以畅通无阻的访问其它系统
单点登录——就是为了解决这个问题而生!
简而言之,单点登录可以做到:**`在多个系统中,用户只需登录一次,就可以访问所有系统。`**
### 架构选型
对于单点登录网上教程很多但大多数讲述的都是CAS重定向机制相对来讲CAS模式较为复杂且并不是实现单点登录的唯一方式。
对于不同的系统架构来讲实现单点登录的步骤也大为不同Sa-Token由简入难将其划分为三种模式
| 系统架构 | 采用模式 | 简介 | 文档链接 |
| :-------- | :-------- | :-------- | :-------- |
| 前端同域 + 后端同 Redis | 模式一 | 共享Cookie + 子系统 [权限缓存与业务缓存分离] | [详情](/sso/sso-type1) |
| 前端不同域 + 后端同 Redis | 模式二 | URL重定向传播会话 | [详情]() |
| 前端不同域 + 后端 不同Redis | 模式三 | SSO认证中心开放接口校验Ticket | [详情]() |
1. 前端同域:就是指多个系统可以部署在同一个主域名之下,比如:`c1.domain.com`、`c2.domain.com`、`c3.domain.com`
2. 后端同Redis就是指多个系统可以连接同一个Redis或者其它的缓存数据中心。PS这里并不需要把所有项目的数据都放在同一个Redis中Sa-Token提供了 **[权限缓存与业务缓存分离]** 的解决方案,详情戳:[Alone独立Redis插件](http://sa-token.dev33.cn/doc/index.html#/plugin/alone-redis)
3. 如果既无法做到前端同域也无法做到后端同Redis那么只能走模式三CAS模式Sa-Token对CAS模式提供了完整的封装你只需要按照示例从文档上复制几段代码便可以轻松集成
4. 只有根据自己的系统架构合理选择,才可对症下药,事半功倍,否则只能是劳而无功,不得要领
### Sa-Token-SSO 特性
1. API简单易用文档介绍详细且提供直接可用的集成示例
2. 支持三种模式不论是否跨域、是否共享Redis都可以完美解决
3. 安全性高内置域名校验、Ticket校验、秘钥校验等杜绝`Ticket劫持`、`Token窃取`等常见攻击手段 (文档讲述攻击原理和防御手段)
4. 不丢参数:笔者曾试验多个单点登录框架,均有参数丢失的情况,比如重定向之前是:`http://a.com?id=1&name=2`,登录成功之后就变成了:`http://a.com?id=1`Sa-Token-SSO内有专门的算法保证了参数不丢失登录成功之后原路返回页面
5. 无缝集成由于Sa-Token本身就是一个权限认证框架因此你可以只用一个框架同时解决`权限认证` + `单点登录`问题让你不再到处搜索xxx单点登录与xxx权限认证如何整合……
6. 高可定制Sa-Token-SSO模块对代码架构侵入性极低结合Sa-Token本身的路由拦截特性你可以非常轻松的定制化开发

171
sa-token-doc/doc/sso/sso-type1.md Normal file
View File

@ -0,0 +1,171 @@
# SSO模式一 共享Cookie同步会话
如果我们的系统可以保证部署在同一个主域名之下并且后端连接同一个Redis那么便可以使用 `[共享Cookie同步会话]` 的方式做到单点登录
---
### 解决思路?
首先我们分析一下多个系统之间为什么无法同步登录状态?
1. 前端的`Token`无法在多个系统下共享
2. 后端的`Session`无法在多个系统间共享
所以单点登录第一招,就是对症下药:
1. 使用`共享Cookie`来解决Token共享问题
2. 使用`Redis`来解决Session共享问题
所谓共享Cookie就是主域名Cookie在二级域名下的共享举个例子写在父域名`stp.com`下的Cookie在`s1.stp.com`、`s2.stp.com`等子域名都是可以共享访问的
而共享Redis并不需要我们把所有项目的数据都放在同一个Redis中Sa-Token提供了 **[权限缓存与业务缓存分离]** 的解决方案,详情戳:[Alone独立Redis插件](/plugin/alone-redis)
> PS这里建议不要用B项目去连接A项目的Redis也不要A项目连接B项目的Redis而是抽离出一个单独的 SSO-RedisA项目和B项目一起来连接这个 SSO-Redis
OK所有理论就绪下面开始实战
### 集成步骤
Sa-Token整合同域下的单点登录非常简单相比于正常的登录你只需要在配置文件中增加配置 `sa-token.cookie-domain=xxx.com` 来指定一下Cookie写入时指定的父级域名即可详细步骤示例如下
#### 1. 准备工作
首先修改hosts文件`(C:\WINDOWS\system32\drivers\etc\hosts)`添加以下IP映射方便我们进行测试
``` text
127.0.0.1 s1.stp.com
127.0.0.1 s2.stp.com
127.0.0.1 s3.stp.com
```
#### 2. 指定Cookie的作用域
常规情况下,在`s1.stp.com`域名访问服务器其Cookie也只能写入到`s1.stp.com`下为了将Cookie写入到其父级域名`stp.com`下,我们需要在配置文件中新增配置:
``` yml
spring:
sa-token:
# 写入Cookie时显式指定的作用域, 用于单点登录二级域名共享Cookie
cookie-domain: stp.com
```
#### 3. 新增测试Controller
新建`SSOController.java`控制器,写入代码:
``` java
/**
* 测试: 同域单点登录
* @author kong
*/
@RestController
@RequestMapping("/sso/")
public class SSOController {
// 测试:进行登录
@RequestMapping("doLogin")
public AjaxJson doLogin(@RequestParam(defaultValue = "10001") String id) {
System.out.println("---------------- 进行登录 ");
StpUtil.login(id);
return AjaxJson.getSuccess("登录成功: " + id);
}
// 测试:是否登录
@RequestMapping("isLogin")
public AjaxJson isLogin() {
System.out.println("---------------- 是否登录 ");
boolean isLogin = StpUtil.isLogin();
return AjaxJson.getSuccess("是否登录: " + isLogin);
}
}
```
#### 4、访问测试
启动项目,依次访问:
- [http://s1.stp.com:8081/sso/isLogin](http://s1.stp.com:8081/sso/isLogin)
- [http://s2.stp.com:8081/sso/isLogin](http://s2.stp.com:8081/sso/isLogin)
- [http://s3.stp.com:8081/sso/isLogin](http://s3.stp.com:8081/sso/isLogin)
均返回以下结果:
``` js
{
"code": 200,
"msg": "是否登录: false",
"data": null
}
```
现在访问任意节点的登录接口:
- [http://s1.stp.com:8081/sso/doLogin](http://s1.stp.com:8081/sso/doLogin)
``` js
{
"code": 200,
"msg": "登录成功: 10001",
"data": null
}
```
然后再次刷新上面三个测试接口,均可以得到以下结果:
``` js
{
"code": 200,
"msg": "是否登录: true",
"data": null
}
```
测试完毕
### 跨域模式下的解决方案
如上,我们使用极其简单的步骤实现了同域下的单点登录,聪明如你😏,马上想到了这种模式有着一个不小的限制:
> 所有子系统的域名,必须同属一个父级域名
如果我们的子系统在完全不同的域名下,我们又该怎么完成单点登录功能呢?
且往下看,[SSO模式二URL重定向传播会话](/sso/sso-type2)
<!-- 根据前面的总结单点登录的关键点在于我们如何完成多个系统之间的token共享而`Cookie`并非实现此功能的唯一方案,既然浏览器对`Cookie`限制重重,我们何不干脆直接放弃`Cookie`,转投`LocalStorage`的怀抱?
思路建立一个登录中心在中心登录之后将token一次性下发到所有子系统中
参考以下步骤:
``` js
// 在主域名登录请求回调函数里执行以下方法
// 获取token
var token = res.data.tokenValue;
// 创建子域的iframe, 用于传送数据
var iframe = document.createElement("iframe");
iframe.src = "http://s2.stp.com/xxx.html";
iframe.style.display = 'none';
document.body.append(iframe);
// 使用postMessage()发送数据到子系统
setTimeout(function () {
iframe.contentWindow.postMessage(token, "http://s2.stp.com");
}, 2000);
// 销毁iframe
setTimeout(function () {
iframe.remove();
}, 4000);
// 在子系统里接受消息
window.addEventListener('message', function (event) {
console.log('收到消息', event.data);
// 写入本地localStorage缓存中
localStorage.setItem('satoken', event.data)
}, false);
```
<br>
总结此方式仍然限制较大但巧在提供了一种简便的思路做到了跨域共享token其实跨域模式下的单点登录标准解法还是cas流程
参考[单点登录的三种方式](https://www.cnblogs.com/yonghengzh/p/13712729.html) -->

397
sa-token-doc/doc/sso/sso-type2.md Normal file
View File

@ -0,0 +1,397 @@
# SSO模式二 URL重定向传播会话
如果我们的系统部署在不同的域名之下但是后端可以连接同一个Redis那么便可以使用 [URL重定向传播会话] 的方式做到单点登录
### 0、解题思路
首先我们再次复习一下多个系统之间为什么无法同步登录状态?
1. 前端的`Token`无法在多个系统下共享
2. 后端的`Session`无法在多个系统间共享
关于第二点,我们已经在"SSO模式一"章节中阐述,使用 [Alone独立Redis插件](/plugin/alone-redis) 做到权限缓存直连SSO-Redis数据中心在此不再赘述
而第一点,才是我们解决问题的关键所在,在跨域模式下,意味着"共享Cookie方案"的失效我们必须采用一种新的方案来传递Token
1. 用户在 子系统 点击`[登录]`按钮
2. 用户跳转到子系统登录页面,并携带`back参数`记录初始页面URL
3. 子系统检测到此用户尚未登录再次将其重定向至SSO认证中心并携带`redirect参数`记录子系统的登录页URL
4. 用户在SSO认证中心尚未登录开始登录
5. 用户在SSO认证中心登录成功重定向至子系统的登录页URL并携带`ticket码`
6. 子系统使用ticket码从`SSO-Redis`中获取账号id并在子系统登录此账号会话
7. 子系统将用户再次重定向至最初始的`back`页面
整个过程除了第四步用户在SSO认证中心登录时会被打断其余过程均是自动化的当用户在另一个子系统再次点击`[登录]`按钮由于此用户在SSO认证中心已有会话登录
所以第四步也将自动化,也就是单点登录的最终目的 —— 一次登录,处处通行。
下面我们按照步骤依次完成上述步骤
### 1、搭建SSO-Server认证中心
> 搭建示例在官方仓库的 `/sa-token-demo/sa-token-demo-sso-server/`,如遇到难点可结合源码进行测试学习
##### 1.1、创建SSO-Server端项目
创建一个SpringBoot项目 `sa-token-demo-sso-server`不会的同学自行百度或参考仓库示例添加pom依赖
``` xml
<!-- SpringBoot依赖 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- Sa-Token 权限认证, 在线文档http://sa-token.dev33.cn/ -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.20.0</version>
</dependency>
<!-- Sa-Token整合redis (使用jackson序列化方式) -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-dao-redis-jackson</artifactId>
<version>1.20.0</version>
</dependency>
<!-- 提供Redis连接池 -->
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
</dependency>
```
##### 1.2、创建SSO-Server端认证接口
``` java
/**
* Sa-Token-SSO Server端 Controller
*/
@RestController
public class SsoServerController {
// SSO-Server端授权地址跳转到登录页面
@RequestMapping("ssoAuth")
public Object ssoAuth(String redirect) {
/*
* 此处两种情况分开处理:
* 1、如果在SSO认证中心尚未登录则先去登登录
* 2、如果在SSO认证中心尚已登录则开始对redirect地址下放ticket引导授权
*/
// 情况1尚未登录
if(StpUtil.isLogin() == false) {
String msg = "当前会话在SSO-Server端尚未登录请先访问"
+ "<a href='/doLogin?name=sa&pwd=123456' target='_blank'> doLogin登录 </a>"
+ "进行登录之后,刷新页面开始授权";
return msg;
}
// 情况2已经登录开始构建授权重定向地址下放ticket
String redirectUrl = SaSsoUtil.buildRedirectUrl(StpUtil.getLoginId(), redirect);
return new ModelAndView("redirect:" + redirectUrl);
}
// SSO-Server端登录接口
@RequestMapping("doLogin")
public AjaxJson doLogin(String name, String pwd) {
// 此处仅做模拟登录,真实环境应该查询数据进行登录
if("sa".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return AjaxJson.getSuccess("登录成功!");
}
return AjaxJson.getError("登录失败!");
}
}
```
##### 1.4、application.yml配置
``` yml
# 端口
server:
port: 9000
spring:
# Sa-Token配置
sa-token:
# SSO-相关配置
sso:
# Ticket有效期 (单位: 秒),默认三分钟
ticket-timeout: 300
# 所有允许的授权回调地址 (此处为了方便测试配置为*,线上生产环境一定要配置为详细地地址)
allow-url: "*"
# 接口调用秘钥(模式三才会用到此参数)
# secret-key:
# Redis配置
redis:
# Redis数据库索引默认为0
database: 1
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口
port: 6379
# Redis服务器连接密码默认为空
password:
```
注意点:`allow-url`为了方便测试配置为*线上生产环境一定要配置为详细URL地址
##### 1.4、创建SSO-Server端启动类
``` java
@SpringBootApplication
public class SaSsoServerApplication {
public static void main(String[] args) {
SpringApplication.run(SaSsoServerApplication.class, args);
System.out.println("\nSa-Token-SSO 认证中心启动成功");
}
}
```
启动此项目,用作**`SSO-Server认证中心`**
### 2、搭建SSO-Client应用端
> 搭建示例在官方仓库的 `/sa-token-demo/sa-token-demo-sso-client/`,如遇到难点可结合源码进行测试学习
##### 2.1、创建SSO-Client端项目
创建一个SpringBoot项目 `sa-token-demo-sso-client`添加pom依赖
``` xml
<!-- SpringBoot依赖 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- Sa-Token 权限认证, 在线文档http://sa-token.dev33.cn/ -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>${sa-token-version}</version>
</dependency>
<!-- Sa-Token 整合redis (使用jackson序列化方式) -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-dao-redis-jackson</artifactId>
<version>${sa-token-version}</version>
</dependency>
<!-- 提供Redis连接池 -->
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- Sa-Token插件权限缓存与业务缓存分离 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-alone-redis</artifactId>
<version>1.20.0</version>
</dependency>
```
##### 1.2、创建SSO-Client端认证接口
``` java
/**
* Sa-Token-SSO Client端 Controller
*/
@RestController
public class SsoClientController {
// SSO-Client端首页
@RequestMapping("/")
public String index() {
String str = "<h2>Sa-Token SSO-Client 应用端</h2>" +
"<p>当前会话是否登录:" + StpUtil.isLogin() + "</p>" +
"<p><a href=\"javascript:location.href='/ssoLogin?back=' + lencodeURIComponent(location.href);\">登录</a></p>";
return str;
}
// SSO-Client端登录地址
@RequestMapping("ssoLogin")
public Object login(String back, String ticket) {
// 如果当前Client端已经登录则无需访问SSO认证中心可以直接返回
if(StpUtil.isLogin()) {
return new ModelAndView("redirect:" + back);
}
/*
* 接下来两种情况:
* ticket有值说明此请求从SSO认证中心重定向而来需要根据ticket进行登录
* ticket无值说明此请求是Client端访问需要重定向至SSO认证中心
*/
if(ticket != null) {
Object loginId = SaSsoUtil.getLoginId(ticket);
if(loginId != null ) {
// 如果ticket是有效的 (可以获取到值),需要就此登录 且清除此ticket
StpUtil.login(loginId);
SaSsoUtil.deleteTicket(ticket);
// 最后重定向回back地址
return new ModelAndView("redirect:" + back);
}
// 此处向客户端提示ticket无效即可不要重定向到SSO认证中心否则容易引起无限重定向
return "ticket无效: " + ticket;
}
// 重定向至 SSO-Server端 认证地址
String serverAuthUrl = SaSsoUtil.buildServerAuthUrl(SaHolder.getRequest().getUrl(), back);
return new ModelAndView("redirect:" + serverAuthUrl);
}
}
```
##### 1.3、配置SSO认证中心地址
你需要在 `application.yml` 配置如下信息:
``` yml
# 端口
server:
port: 9001
spring:
# sa-token配置
sa-token:
# SSO-相关配置
sso:
# SSO-Server端授权地址
server-url: http://sa-sso-server.com:9000/ssoAuth
# 配置Sa-Token单独使用的Redis连接 此处需要和SSO-Server端连接同一个Redis
alone-redis:
# Redis数据库索引 (默认为0)
database: 1
# Redis服务器地址
host: 127.0.0.1
# Redis服务器连接端口
port: 6379
# Redis服务器连接密码默认为空
password:
```
注意点:`spring.sa-token.alone-redis` 的配置需要和SSO-Server端连接同一个Redisdatabase也要一样
##### 1.4、写启动类
``` java
@SpringBootApplication
public class SaSsoClientApplication {
public static void main(String[] args) {
SpringApplication.run(SaSsoClientApplication.class, args);
System.out.println("\nSa-Token-SSO Client端启动成功");
}
}
```
启动项目
### 3、测试访问
##### 3.1 修改host文件
首先修改hosts文件`(C:\WINDOWS\system32\drivers\etc\hosts)`添加以下IP映射方便我们进行测试
```
127.0.0.1 sa-sso-server.com
127.0.0.1 sa-sso-client1.com
127.0.0.1 sa-sso-client2.com
127.0.0.1 sa-sso-client3.com
```
##### 3.2 启动项目并访问
(1) 依次启动SSO-Server与SSO-Client端然后从浏览器访问[http://sa-sso-client1.com:9001/](http://sa-sso-client1.com:9001/)
![sso-client-index.png](https://oss.dev33.cn/sa-token/doc/sso/sso-client-index.png 's-w-sh')
(2) 首次打开,提示当前未登录,我们点击**`登录`** 按钮,页面会被重定向到登录中心
![sso-server-auth.png](https://oss.dev33.cn/sa-token/doc/sso/sso-server-auth.png 's-w-sh')
(3) SSO-Server提示我们在认证中心尚未登录我们点击 **`doLogin登录`**按钮进行模拟登录
![sso-server-dologin.png](https://oss.dev33.cn/sa-token/doc/sso/sso-server-dologin.png 's-w-sh')
(4) SSO-Server认证中心登录成功我们回到刚才的页面刷新页面
![sso-client-index-ok.png](https://oss.dev33.cn/sa-token/doc/sso/sso-client-index-ok.png 's-w-sh')
(5) 页面被重定向至`Client`端首页,并提示登录成功,至此,`Client1`应用已单点登录成功!
(6) 我们再次访问`Client2`[http://sa-sso-client2.com:9001/](http://sa-sso-client2.com:9001/)
![sso-client2-index.png](https://oss.dev33.cn/sa-token/doc/sso/sso-client2-index.png 's-w-sh')
(7) 提示未登录,我们点击**`登录`**按钮,会直接提示登录成功
![sso-client2-index-ok.png](https://oss.dev33.cn/sa-token/doc/sso/sso-client2-index-ok.png 's-w-sh')
(8) 同样的方式,我们打开`Client3`,也可以直接登录成功:[http://sa-sso-client3.com:9001/](http://sa-sso-client3.com:9001/)
![sso-client3-index-ok.png](https://oss.dev33.cn/sa-token/doc/sso/sso-client3-index-ok.png 's-w-sh')
至此,测试完毕!
可以看出,除了在`Client1`端我们需要手动登录一次之外,在`Client2端`和`Client3端`都是可以无需验证,直接登录成功的。
我们可以通过 F12控制台 Netword跟踪整个过程
![sso-genzong](https://oss.dev33.cn/sa-token/doc/sso/sso-genzong.png 's-w-sh')
### 4、运行官方仓库
以上示例,虽然完整的复现了单点登录的过程,但是页面还是有些简陋,我们可以运行一下官方仓库的示例,里面有制作好的登录页面
> 下载官方示例,依次运行 `/sa-token-demo/sa-token-demo-sso-client/``/sa-token-demo/sa-token-demo-sso-server/`,访问:[http://sa-sso-client1.com:9001/](http://sa-sso-client1.com:9001/)
![sso-server-login-hua](https://oss.dev33.cn/sa-token/doc/sso/sso-server-login-hua.png 's-w-sh')
默认测试密码:`sa / 123456`,其余流程保持不变
### 5、配置域名校验
##### 5.1、Ticket劫持攻击
在以上的SSO-Server端示例中配置项 `spring.sa-token.sso.allow-url=*` 意为配置所有允许的Client端授权地址不在此配置项中的URL将无法单点登录成功
以上示例为了方便测试被配置为*,但是,<font color="#FF0000" >在生产环境中,此配置项绝对不能配置为 * </font>否则会有被ticket劫持的风险
假设攻击者根据模仿我们的授权地址巧妙的构造一个URL
> [http://sa-sso-server.com:9000/ssoAuth?redirect=https://www.baidu.com/](http://sa-sso-server.com:9000/ssoAuth?redirect=https://www.baidu.com/)
当不知情的小红被诱导访问了这个URL时它将被重定向至百度首页
![sso-ticket-jc](https://oss.dev33.cn/sa-token/doc/sso/sso-ticket-jc.png 's-w-sh')
可以看到代表着用户身份的ticket码也显现到了URL之中借此漏洞攻击者完全可以构建一个URL将小红的ticket码自动提交到攻击者自己的服务器伪造小红身份登录网站
##### 5.2、防范方法
造成此漏洞的直接原因就是SSO-Server认证中心没有对 `redirect地址` 进行任何的限制,防范的方法也很简单,就是对`redirect参数`进行校验如果其不在指定的URL列表中时拒绝下放ticket
我们将其配置为一个具体的URL`allow-url=http://sa-sso-client1.com:9001/ssoLogin`,再次访问上述连接:
![sso-feifa-rf](https://oss.dev33.cn/sa-token/doc/sso/sso-feifa-rf.png 's-w-sh')
域名没有通过校验,拒绝授权!
##### 5.3、配置安全性参考表
| 配置方式 | 举例 | 安全性 | 建议 |
| :-------- | :-------- | :-------- | :-------- |
| 配置为* | `*` | <font color="#F00" ></font> | <font color="#F00" >禁止在生产环境下使用</font> |
| 配置到域名 | `http://sa-sso-client1.com/*` | <font color="#F70" ></font> | <font color="#F70" >不建议在生产环境下使用</font> |
| 配置到详细地址| `http://sa-sso-client1.com:9001/ssoLogin` | <font color="#080" ></font> | <font color="#080" >可以在生产环境下使用</font> |
##### 5.4、疑问为什么不直接回传Token而是先回传ticket再用ticket去查询对应的账号id
Token作为长时间有效的会话凭证在任何时候都不应该直接在暴露URL之中虽然Token直接的暴露本身不会造成安全漏洞但会为很多漏洞提供可乘之机
因此Sa-Token-SSO选择先回传ticket再由ticket获取账号id且ticket一次性用完即废提高安全性

2
sa-token-doc/doc/sso/sso-type3.md Normal file
View File

@ -0,0 +1,2 @@
# SSO模式三 SSO认证中心开放接口校验Ticket