前沿拓展：

我的淘寶登錄

問題就點不太一樣,你試試看這樣可以么.
在Internet 屬性中—隱私—高級—Cookie—在(總是允許會話cookie)前面打勾.然后確定就可以了.如果就你的是其它瀏覽器,不是電腦里原始的.Internet 屬性在—控制面板—Internet 選項雙擊打開就可以了.

一、什么是單點登錄？

單點登錄的英文名叫做：Single Sign On（簡稱SSO）。

在初學/以前的時候，一般我們就單系統，所有的功能都在同一個系統上。

所有的功能都在同一個系統上

后來，我們為了合理利用資源和降低耦合性，于是把單系統拆分成多個子系統。

回顧：分布式基礎知識

拆分成多個子系統

拆分成多個子系統

比如阿里系的淘寶和天貓，很明顯地我們可以知道這是兩個系統，但是你在使用的時候，登錄了天貓，淘寶也會自動登錄。

登錄了天貓，淘寶也登錄了

簡單來說，單點登錄就是在多個系統中，用戶只需一次登錄，各個系統即可感知該用戶已經登錄。

二、回顧單系統登錄

在我初學JavaWeb的時候，登錄和注冊是我做得最多的一個功能了（初學Servlet的時候做過、學SpringMVC的時候做過、跟著做項目的時候做過…），反正我也數不清我做了多少次登錄和注冊的功能了…這里簡單講述一下我們初學時是怎么做登錄功能的。

HTTP是無狀態的協議

眾所周知，HTTP是無狀態的協議，這意味著服務器無法確認用戶的信息。于是乎，W3C就提出了：給每一個用戶都發一個通行證，無論誰訪問的時候都需要攜帶通行證，這樣服務器就可以從通行證上確認用戶的信息。通行證就是Cookie。

如果說Cookie是檢查用戶身上的”通行證“來確認用戶的身份，那么Session就是通過檢查服務器上的”客戶明細表“來確認用戶的身份的。Session相當于在服務器中建立了一份“客戶明細表”。

HTTP協議是無狀態的，Session不能依據HTTP連接來判斷是否為同一個用戶。于是乎：服務器向用戶瀏覽器發送了一個名為JESSIONID的Cookie，它的值是Session的id值。其實Session是依據Cookie來識別是否是同一個用戶。

所以，一般我們單系統實現登錄會這樣做：

登錄：將用戶信息保存在Session對象中- 如果在Session對象中能查到，說明已經登錄如果在Session對象中查不到，說明沒登錄（或者已經退出了登錄）注銷（退出登錄）：從Session中刪除用戶的信息記住我（關閉掉瀏覽器后，重新打開瀏覽器還能保持登錄狀態）：配合Cookie來用

我之前Demo的代碼，可以參考一下：

/**
* 用戶登陸
*/
@PostMapping(value = “/user/session”, produces = {“application/json;charset=UTF-8”})
public Result login(String mobileNo, String password, String inputCaptcha, HttpSession session, HttpServletResponse response) {
//判斷驗證碼是否正確
if (WebUtils.validateCaptcha(inputCaptcha, “captcha”, session)) {
//判斷有沒有該用戶
User user = userService.userLogin(mobileNo, password);
if (user != null) {
/*設置自動登陸，一個星期. 將token保存在數據庫中*/
String loginToken = WebUtils.md5(new Date().toString() + session.getId());
user.setLoginToken(loginToken);
User user1 = userService.userUpload(user);
session.setAttribute(“user”, user1);
CookieUtil.addCookie(response,”loginToken”,loginToken,604800);
return ResultUtil.success(user1);
} else {
return ResultUtil.error(ResultEnum.LOGIN_ERROR);
}
} else {
return ResultUtil.error(ResultEnum.CAPTCHA_ERROR);
}
}
/**
* 用戶退出
*/
@DeleteMapping(value = “/session”, produces = {“application/json;charset=UTF-8”})
public Result logout(HttpSession session,HttpServletRequest request,HttpServletResponse response ) {
//刪除session和cookie
session.removeAttribute(“user”);
CookieUtil.clearCookie(request, response, “loginToken”);
return ResultUtil.success();
}
/**
* @author ozc
* @version 1.0
* <p>
* **；實現自動登陸功能
*/
public class UserInterceptor implements HandlerInterceptor {
@Autowired
private UserService userService;
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
User sessionUser = (User) request.getSession().getAttribute(“user”);
// 已經登陸了，放行
if (sessionUser != null) {
return true;
} else {
//得到帶過來cookie是否存在
String loginToken = CookieUtil.findCookieByName(request, “loginToken”);
if (StringUtils.isNotBlank(loginToken)) {
//到數據庫查詢有沒有該Cookie
User user = userService.findUserByLoginToken(loginToken);
if (user != null) {
request.getSession().setAttribute(“user”, user);
return true;
} else {
//沒有該Cookie與之對應的用戶(Cookie不匹配)
CookieUtil.clearCookie(request, response, “loginToken”);
return false;
}
} else {
//沒有cookie、也沒有登陸。是index請求獲取用戶信息，可以放行
if (request.getRequestURI().contains(“session”)) {
return true;
}
//沒有cookie憑證
response.sendRedirect(“/login.html”);
return false;
}
}
}
}

總結一下上面代碼的思路：

用戶登錄時，驗證用戶的賬戶和密碼生成一個Token保存在數據庫中，將Token寫到Cookie中將用戶數據保存在Session中請求時都會帶上Cookie，檢查有沒有登錄，如果已經登錄則放行

Cookie的作用是什么?和Session有什么區別？

Cookie 和 Session都是用來跟蹤瀏覽器用戶身份的會話方式，但是兩者的應用場景不太一樣。

Cookie 一般用來保存用戶信息 比如①我們在 Cookie 中保存已經登錄過得用戶信息，下次訪問網站的時候頁面可以自動幫你登錄的一些基本信息給填了；②一般的網站都會有保持登錄也就是說下次你再訪問網站的時候就不需要重新登錄了，這是因為用戶登錄的時候我們可以存放了一個 Token 在 Cookie 中，下次登錄的時候只需要根據 Token 值來查找用戶即可(為了安全考慮，重新登錄一般要將 Token 重寫)；③登錄一次網站后訪問網站其他頁面不需要重新登錄。Session 的主要作用就是通過服務端記錄用戶的狀態。典型的場景是購物車，當你要添加商品到購物車的時候，系統不知道是哪個用戶**作的，因為 HTTP 協議是無狀態的。服務端給特定的用戶創建特定的 Session 之后就可以標識這個用戶并且跟蹤這個用戶了。

Cookie 數據保存在客戶端(瀏覽器端)，Session 數據保存在服務器端。

Cookie 存儲在客戶端中，而Session存儲在服務器上，相對來說 Session 安全性更高。如果使用 Cookie 的一些敏感信息不要寫入 Cookie 中，最好能將 Cookie 信息加密然后使用到的時候再去服務器端解密。

三、多系統登錄的問題與解決

3.1 Session不共享問題

單系統登錄功能主要是用Session保存用戶信息來實現的，但我們清楚的是：多系統即可能有多個Tomcat，而Session是依賴當前系統的Tomcat，所以系統A的Session和系統B的Session是不共享的。

系統A的Session和系統B的Session是不共享的

解決系統之間Session不共享問題有一下幾種方案：

Tomcat集群Session全局**（集群內每個tomcat的session完全同步）【會影響集群的性能呢，不建議】根據請求的IP進行Hash映射到對應的機器上（這就相當于請求的IP一直會訪問同一個服務器）【如果服務器宕機了，會丟失了一大部分Session的數據，不建議】把Session數據放在Redis中（使用Redis模擬Session）【建議】

我們可以將登錄功能單獨抽取出來，做成一個子系統。

抽取出來成為子系統

抽取出來成為子系統

SSO（登錄系統）的邏輯如下：

// 登錄功能(SSO單獨的服務)
@Override
public TaotaoResult login(String username, String password) throws Exception {
//根據用戶名查詢用戶信息
TbUserExample example = new TbUserExample();
Criteria criteria = example.createCriteria();
criteria.andUsernameEqualTo(username);
List<TbUser> list = userMapper.selectByExample(example);
if (null == list || list.isEmpty()) {
return TaotaoResult.build(400, “用戶不存在”);
}
//核對密碼
TbUser user = list.get(0);
if (!DigestUtils.md5DigestAsHex(password.getBytes()).equals(user.getPassword())) {
return TaotaoResult.build(400, “密碼錯誤”);
}
//登錄成功，把用戶信息寫入redis
//生成一個用戶token
String token = UUID.randomUUID().toString();
jedisCluster.set(USER_TOKEN_KEY + “:” + token, JsonUtils.objectToJson(user));
//設置session過期時間
jedisCluster.expire(USER_TOKEN_KEY + “:” + token, SESSION_EXPIRE_TIME);
return TaotaoResult.ok(token);
}

其他子系統登錄時，請求SSO（登錄系統）進行登錄，將返回的token寫到Cookie中，下次訪問時則把Cookie帶上：

public TaotaoResult login(String username, String password,
HttpServletRequest request, HttpServletResponse response) {
//請求參數
Map<String, String> param = new HashMap<>();
param.put(“username”, username);
param.put(“password”, password);
//登錄處理
String stringResult = HttpClientUtil.doPost(REGISTER_USER_URL + USER_LOGIN_URL, param);
TaotaoResult result = TaotaoResult.format(stringResult);
//登錄出錯
if (result.getStatus() != 200) {
return result;
}
//登錄成功后把取token信息，并寫入cookie
String token = (String) result.getData();
//寫入cookie
CookieUtils.setCookie(request, response, “TT_TOKEN”, token);
//返回成功
return result;
}

總結：

SSO系統生成一個token，并將用戶信息存到Redis中，并設置過期時間其他系統請求SSO系統進行登錄，得到SSO返回的token，寫到Cookie中每次請求時，Cookie都會帶上，**得到token，判斷是否已經登錄

到這里，其實我們會發現其實就兩個變化：

將登陸功能抽取為一個系統（SSO），其他系統請求SSO進行登錄本來將用戶信息存到Session，現在將用戶信息存到Redis

3.2 Cookie跨域的問題

上面我們解決了Session不能共享的問題，但其實還有另一個問題。Cookie是不能跨域的

比如說，我們請求<https://www.google.com/>時，瀏覽器會自動把google.com的Cookie帶過去給google的服務器，而不會把<https://www.baidu.com/>的Cookie帶過去給google的服務器。

這就意味著，由于域名不同，用戶向系統A登錄后，系統A返回給瀏覽器的Cookie，用戶再請求系統B的時候不會將系統A的Cookie帶過去。

針對Cookie存在跨域問題，有幾種解決方案：

服務端將Cookie寫到客戶端后，客戶端對Cookie進行解析，將Token解析出來，此后請求都把這個Token帶上就行了多個域名共享Cookie，在寫到客戶端的時候設置Cookie的domain。將Token保存在SessionStroage中（不依賴Cookie就沒有跨域的問題了）

到這里，我們已經可以實現單點登錄了。

3.3 CAS原理

說到單點登錄，就肯定會見到這個名詞：CAS （Central Authentication Service），下面說說CAS是怎么搞的。

如果已經將登錄單獨抽取成系統出來，我們還能這樣玩。現在我們有兩個系統，分別是www.java3y.com和www.jav**.com，一個SSOwww.sso.com

現在我們有三個系統

首先，用戶想要訪問系統Awww.java3y.com受限的資源(比如說購物車功能，購物車功能需要登錄后才能訪問)，系統Awww.java3y.com發現用戶并沒有登錄，于是重定向到sso認證中心，并將自己的地址作為參數。請求的地址如下：

www.sso.com?service=www.java3y.com

sso認證中心發現用戶未登錄，將用戶引導至登錄頁面，用戶進行輸入用戶名和密碼進行登錄，用戶與認證中心建立全局會話（生成一份Token，寫到Cookie中，保存在瀏覽器上）

4步過程

隨后，認證中心重定向回系統A，并把Token攜帶過去給系統A，重定向的地址如下：

www.java.com?token=xxxxxxx

接著，系統A去sso認證中心驗證這個Token是否正確，如果正確，則系統A和用戶建立局部會話（創建Session）。到此，系統A和用戶已經是登錄狀態了。

第五步和第六步

此時，用戶想要訪問系統Bwww.jav**.com受限的資源(比如說訂單功能，訂單功能需要登錄后才能訪問)，系統Bwww.jav**.com發現用戶并沒有登錄，于是重定向到sso認證中心，并將自己的地址作為參數。請求的地址如下：

www.sso.com?service=www.java.com

注意，因為之前用戶與認證中心www.sso.com已經建立了全局會話（當時已經把Cookie保存到瀏覽器上了），所以這次系統B重定向到認證中心www.sso.com是可以帶上Cookie的。

認證中心根據帶過來的Cookie發現已經與用戶建立了全局會話了，認證中心重定向回系統B，并把Token攜帶過去給系統B，重定向的地址如下：

www.java.com?token=xxxxxxx

接著，系統B去sso認證中心驗證這個Token是否正確，如果正確，則系統B和用戶建立局部會話（創建Session）。到此，系統B和用戶已經是登錄狀態了。

系統B的流程圖

看到這里，其實SSO認證中心就類似一個中轉站。

end：如果你覺得本文對你有幫助的話，記得點贊轉發，你的支持就是我更新動力。

拓展知識：