实现sso系统需搭建认证中心、处理子系统接入流程、解决跨域问题,并强化安全机制。1. 使用spring boot搭建统一认证中心,负责登录验证并生成带过期时间的Token(如jwt),通过redis维护会话状态;2. 子系统通过Filter拦截请求,无合法token则跳转至sso登录页并携带回调url,登录成功后重定向回子系统并设置本地Cookie;3. 多系统跨域时可采用window.postmessage传递token或使用oauth2协议;4. 安全方面需启用https传输、完善token刷新机制、防范csrf/xss攻击,并支持多因素认证和操作复验。
要实现SSO(单点登录)系统,Java 是一个非常常见的选择,特别是在企业级应用中。SSO 的核心目标是让用户只需登录一次,就能访问多个相互信任的系统。要实现这个功能,关键在于认证中心的设计、会话管理以及各子系统的集成方式。
下面从几个实际需求出发,讲讲如何用 Java 实现一个基础但实用的 SSO 系统。
1. 搭建统一认证中心(Auth Center)
SSO 的核心是一个独立的认证服务,负责用户的登录、鉴权和 Token 管理。通常使用 spring boot 来快速搭建这个服务。
立即学习“Java免费学习笔记(深入)”;
实现要点:
- 提供 /login 接口接收用户名和密码
- 登录成功后生成 Token(如 JWT 或 Session ID)
- 维护用户登录状态(可以用 redis 缓存 Token 和用户信息)
- 提供 /check-token 接口供其他系统验证 Token
// 示例:生成 JWT Token(使用 jjwt 库) String token = Jwts.builder() .setSubject(user.getUsername()) .setExpiration(new Date(System.currentTimeMillis() + 3600_000)) .signWith(SignatureAlgorithm.HS512, "your-secret-key") .compact();
注意:Token 要有过期时间,并配合刷新机制,防止长期有效带来的安全风险。
2. 子系统接入 SSO 认证流程
各个业务系统在接收到请求时,需要先检查是否有合法的 Token。如果没有,就跳转到认证中心进行登录。
典型流程如下:
- 用户访问子系统 A 页面
- 子系统 A 检查 Cookie 或 Header 中是否有 Token
- 如果没有,重定向到 SSO 登录页,带上当前页面地址作为回调 URL
- 用户登录成功后,SSO 重定向回子系统 A 并附带 Token
- 子系统 A 验证 Token 合法性,并设置本地 Cookie 保持登录状态
实现建议:
- 使用 Filter 拦截所有请求,做 Token 校验
- 对于未登录用户,重定向到 /sso/login?redirect_url=xxx
- 可以将 Token 存在 Cookie 中,设置 Domain 共享(如果多个系统同域)
3. 支持跨域登录与 Token 共享
当多个子系统部署在不同域名下时,Cookie 无法共享,这时候就需要一些技巧来传递 Token。
常见方案:
- 使用 iframe + document.domain(适用于主域名相同的情况)
- 使用 Token 回调 URL 参数传 Token(注意安全性)
- 使用 OAuth2 协议或 CAS 协议(更复杂但标准)
举个例子:
用户登录后,SSO 页面通过 window.postMessage() 将 Token 发送给父页面,子系统监听消息并保存 Token 到 localStorage。
4. 安全性和扩展性考虑
SSO 是整个系统安全的关键节点,设计时必须考虑以下几点:
- Token 必须加密传输(HTTPS 是前提)
- Token 过期和刷新机制要完善
- 防止 CSRF 和 XSS 攻击
- 可以支持多因素认证(如短信、验证码等)
- 日志记录和异常监控不能少
增强安全性的做法:
- Token 加密签名(JWT 默认支持)
- Token 白名单 + 黑名单机制
- 设置 SameSite Cookie 属性防止 CSRF
- 对敏感操作重新验证身份(如修改密码)
基本上就这些。Java 实现 SSO 不难,难点在于根据业务场景合理设计认证流程、处理跨域问题和保障安全性。你可以从最简单的基于 Session 的模式开始,逐步过渡到 JWT 或 OAuth2 方案。
