cookie实现单点登录

前言

在单点登录方案设计一篇中，我们谈到了目前市面上常用的一些单点登录方案的实现，关于单点登录，只需要把握一个核心的要点即可，那就是：一处登录，处处登录，登录之后，即同域下其他各个系统都能统一拿到用户的基本信息

关于cookie，想必大家也很熟悉了，cookie中可以存储会话信息，将用户的基本信息存储进去之后，就可以在前后端交互中进行传输了

本篇将分享基于cookie如何实现单点登录，本篇以实际案例为主进行演示

业务背景

以一个大家熟悉的购物业务，实际项目中，一个商城系统可能包含诸多模块的业务，比如用户中心，专门负责用户的认证功能，购物车、会员、物流等多个板块，用户只需要一次登录之后，就可以在各个业务模块的界面中来回切换

环境准备

JDK8 , maven ， idea

实现目标

用户通过用户模块的主页面登录之后，可以访问任意的其他模块，比如购物车模块的页面
未登录访问其他任何模块，直接跳转到登录页面
用户模块退出之后，再访问其他任何模块的页面，将无法访问

工程搭建

整个工程结构如上图所示，各个模块的说明如下：

sso-main 业务主模块，也是登录的入口
sso-login 负责登录业务，实际可理解为用户中心
sso-cart 购物车模块
sso-vip 会员模块

后续可以在此基础上继续增加，比如积分模块，物流模块等

1、顶级pom依赖

 <parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.2.1.RELEASE</version><relativePath/> <!-- lookup parent from repository --></parent><dependencyManagement><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId><version>2.2.1.RELEASE</version></dependency></dependencies></dependencyManagement>

sso-login模块

该模块主要负责用户的登录，退出，并将用户会话信息存储至token，同时为其他各个模块提供用户信息查询功能

1、pom依赖

     <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-tomcat</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-devtools</artifactId><scope>runtime</scope><optional>true</optional></dependency><!-- https://mvnrepository.com/artifact/org.apache.httpcomponents/httpclient --><dependency><groupId>org.apache.httpcomponents</groupId><artifactId>httpclient</artifactId><version>4.5.13</version></dependency></dependencies>

2、yml配置

server:port: 9000

3、登录页面

提供一个基于thymeleaf的html登录模板页

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head><meta charset="UTF-8"><title>login</title>
</head>
<body>
<h3>登陆页面</h3>
<form action="/login" method="post">用户名:<input type="text" name="username"/>密码:<input type="password" name="password"/><input type="submit" value="登录"/><p style="color: red" th:text="${session.msg}"></p>
</form>
</body>
</html>

4、提供一个controller

ViewController 用户进行跳转至登录页，作为引导控制器

/*** 页面跳转逻辑*/
@Controller
@RequestMapping("/view")
public class ViewController {/*** 跳转到登陆页面，设置重定向的地址，可以携带cookie-TOKEN，如果有cookie，不用跳转到登陆页面，直接重定向* @return*/@GetMapping("/login")public String toLogin(@RequestParam(required = false, defaultValue = "") String target,HttpSession session, @CookieValue(required = false, value = "TOKEN") Cookie cookie){//传入参数为空，默认跳转到首页if (StringUtils.isEmpty(target)){target = "http://127.0.0.1:9010";}//若已经登陆的用户登陆系统时，直接重定向到targetif (cookie != null){String value = cookie.getValue();User user = LoginCacheUtil.loginMap.get(value);if (user != null){return "redirect:" + target;}}//重定向地址，将地址保存起来session.setAttribute("target",target);return "login";}
}

LoginController 实际处理登录逻辑的控制器，提供登录，登出，以及查询用户信息的接口，这里为了模拟数据库的用户，就直接在程序中模拟初始化一些用户数据

@Controller
@RequestMapping("/login")
public class LoginController {private static Set<User> dbUsers;/*** 模拟数据库的用户列表*/static {dbUsers = new HashSet<>();dbUsers.add(new User(0,"zhangsan","123456"));dbUsers.add(new User(1,"lisi","123456"));dbUsers.add(new User(2,"wangwu","123456"));}@PostMappingpublic String doLogin(User user, HttpSession session, HttpServletResponse response){String target = (String) session.getAttribute("target");User res = null;for (User dbUser : dbUsers){if(dbUser.getUsername().equals(user.getUsername()) && dbUser.getPassword().equals(user.getPassword())){res = dbUser;}}//用户登陆成功，保存(TOKEN,用户)if (res != null){//保存用户登陆信息String token = UUID.randomUUID().toString();Cookie cookie = new Cookie("TOKEN",token);cookie.setDomain("127.0.0.1");response.addCookie(cookie);LoginCacheUtil.loginMap.put(token,user);} else {session.setAttribute("msg","用户名或密码错误");return "login";}//重定向到target地址return "redirect:" + target;}/*** 给其他子系统开发一个接口，根据token获取登陆的用户信息* @param token* @return*/@GetMapping("/info")public ResponseEntity<User> getUserInfo(String token){if (!StringUtils.isEmpty(token)){User user = LoginCacheUtil.loginMap.get(token);return ResponseEntity.ok(user);}else {return new ResponseEntity<>(HttpStatus.BAD_REQUEST);}}@GetMapping("/logout")public String logout(@CookieValue(value = "TOKEN")Cookie cookie, @RequestParam("target") String target,HttpSession session,HttpServletResponse response){//删除用户的登陆信息LoginCacheUtil.loginMap.remove(cookie.getValue());//删除session.loginUsersession.removeAttribute("loginUser");//设置cookie过期Cookie newCookie = new Cookie("TOKEN",null);newCookie.setMaxAge(0);newCookie.setPath("/");response.addCookie(newCookie);return "redirect:"+target;}}

sso-main 模块

1、pom依赖

同 sso-login

2、yml配置

server:port: 9010

3、配置简单的html

由于需要进行页面展示，并模拟登录过程，这里使用了thymeleaf模板，使用比较简单，main模块的页面主要负责登录之后跳转后的主页面，简单起见，只需要对登录之后的用户信息做一下展示即可

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head><meta charset="UTF-8"><title>首页</title>
</head>
<body><h1>欢迎来到main首页</h1><span><a th:if="${session.loginUser} == null" href="http://127.0.0.1:9000/view/login?target=http://127.0.0.1:9010/view/index">登陆</a><a th:unless="${session.loginUser} == null" href="http://127.0.0.1:9000/login/logout?target=http://127.0.0.1:9010/view/index">退出</a></span><p th:unless="${session.loginUser} == null"><span style="color: deepskyblue" th:text="${session.loginUser.username}"></span>已登陆</p>
</body>
</html>

4、编写一个controller

当用户登录成功后，需要进行页面跳转，即跳转到main的页面，由于是不同的业务模块，实际项目中，可能是分布式部署的话，为了拿到用户的登录信息，这里简单采用restTemplate的方式

@Controller
@RequestMapping("/view")
public class ViewController {@Autowiredprivate RestTemplate restTemplate;private final static String REMOTE_LOGIN_INFO_ADDRESS = "http://127.0.0.1:9000/login/info?token=";@GetMapping("/index")public String toIndex(@CookieValue(required = false, value = "TOKEN")Cookie cookie, HttpSession session){if (cookie != null){String token = cookie.getValue();//根据login子系统暴露的info方法去根据token获取userif (!StringUtils.isEmpty(token)){Map result = restTemplate.getForObject(REMOTE_LOGIN_INFO_ADDRESS + token, Map.class);session.setAttribute("loginUser",result);}}return "index";}
}

sso - main 和sso-login模块写好之后，我们就可以简单做个测试了，分别启动这两个模块

1、访问登录入口页面，http://127.0.0.1:9010/view/index

2、点击登录

登录之后，由sso-main模块中的页面上的a链接，携带一个完整的href地址跳转到sso-login的登录主页面，我们的实现逻辑是，进入登录页面时，由于携带了完整的url信息，里面包含了从哪个页面（这里从main模块）过来的，那么在sso-login登录成功之后，还能跳转回去原来的页面

3、输入程序中初始化的用户名和密码

在sso-login的doLogin接口处理完成之后，将会把登录用户的信息写入session并带来页面上进行展示；

同时用户登录成功后，在接口中我们生成了一个token，用一个map进行存储，token作为key，user对象作为value，方便在后续其他模块访问的时候，直接从map中快速获取，关于这一点，在实际开发项目中，可以考虑使用threadLocal进行存储

如何验证我们的单点登录是好使的呢？还没有完，上面只是完成了用户的登录，接下来我们再将另外2个模块的业务逻辑编写完整

sso-vip 模块

该模块作为会员业务模块，另外的cart购物车模块也是如此

1、pom依赖

如上的sso-login

2、yml配置

server:port: 9011

3、html页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head><meta charset="UTF-8"><title>Vip</title>
</head>
<body><h1>欢迎来到VIP页面</h1><span><a th:if="${session.loginUser} == null" href="http://127.0.0.1:9000/view/login?target=http://127.0.0.1:9011/view/index">登陆</a><a th:unless="${session.loginUser} == null" href="http://127.0.0.1:9000/login/logout?target=http://127.0.0.1:9011/view/index">退出</a></span><p th:unless="${session.loginUser} == null"><span style="color: deepskyblue" th:text="${session.loginUser.username}"></span>已登陆</p>
</body>
</html>

该页面主要展示登录成功后的用户信息

4、提供一个controller，用于从sso-login中获取用户信息

@Controller
@RequestMapping("/view")
public class ViewController {@Autowiredprivate RestTemplate restTemplate;private final static String REMOTE_LOGIN_INFO_ADDRESS = "http://127.0.0.1:9000/login/info?token=";@GetMapping("/index")public String toIndex(@CookieValue(required = false, value = "TOKEN")Cookie cookie, HttpSession session){if (cookie != null){String token = cookie.getValue();if (!StringUtils.isEmpty(token)){Map result = restTemplate.getForObject(REMOTE_LOGIN_INFO_ADDRESS + token, Map.class);session.setAttribute("loginUser",result);}}return "index";}
}

接下来启动该模块，下面开始测试，

1、在已经登录的情况下，输入：http://localhost:9011/view/index

已经登录的情况下，VIP模块的controller中通过rest接口可以拿到cookie中用户的信息，因此直接将用户信息取出进行页面展示

2、在未登录的情况下，输入：http://localhost:9011/view/index

先点击退出登录，然后直接展示登录页面的信息

最后我们将cart模块也仿照vip博客搭建好，启动项目，然后再次做测试，

3、访问car模块主页面：http://127.0.0.1:9012/view/index

由于第二步中进行了退出，这时候，访问cart页面时，也是需要登录的状态

4、cart中点击登录，并进行登录操作

登录成功后，我们再次刷新cart页面，这时候显示已登录

通过以上案例的展示，我们基于cookie的方式实现了模拟单点登录的效果，此种方案，在不少生产级的项目中仍有使用，关于cookie实现单点登录，做一下简单的说明

优点：

实现难度低，无需太多的学习成本
后续维护相对简单
新的业务模块加入时，扩展实现成本较低

缺点：

cookie中如果存放了用户的敏感信息，一旦被窃取，这个负面影响大，生产环境，最好使用加密手段加密
如果大量的用户信息放入cookie，对浏览器端压力较大，同时cookie存储的信息量大小有限
不够轻量级，跨域情况下将会带来一定的麻烦（这种问题，需要考虑到自身系统和外部系统对接问题）