FantasticMao 技术笔记
BlogGitHub
  • README
  • C & Unix
    • C
      • 《C 程序设计语言》笔记
      • C 语言中的陷阱
      • CMake 示例
      • GNU make
      • LLVM Clang
      • Nginx 常用模块
      • Vim 常用命令
    • Unix-like
      • 《深入理解计算机系统》笔记
      • 《UNIX 环境高级编程》笔记 - UNIX 基础知识
      • 《UNIX 环境高级编程》笔记 - 文件 IO
      • 《UNIX 环境高级编程》笔记 - 标准 IO 库
      • 《鳥哥的 Linux 私房菜》笔记 - 目录配置
      • 《鳥哥的 Linux 私房菜》笔记 - 认识与学习 bash
      • 《鳥哥的 Linux 私房菜》笔记 - 任务管理
      • OpenWrt 中的陷阱
      • iptables 工作机制
  • Go
    • 《A Tour of Go》笔记
    • Go vs C vsJava
    • Go 常用命令
    • Go 语言中的陷阱
  • Java
    • JDK
      • 《Java 并发编程实战》笔记 - 线程池的使用
      • 设计模式概览
      • 集合概览
      • HashMap 内部算法
      • ThreadLocal 工作机制
      • Java Agent
    • JVM
      • 《深入理解 Java 虚拟机》笔记 - Java 内存模型与线程
      • JVM 运行时数据区
      • 类加载机制
      • 垃圾回收算法
      • 引用类型
      • 垃圾收集算法
      • 垃圾收集器
    • Spring
      • Spring IoC 容器扩展点
      • Spring Transaction 声明式事务管理
      • Spring Web MVC DispatcherServlet 工作机制
      • Spring Security Servlet 实现原理
    • 其它
      • 《Netty - One Framework to rule them all》演讲笔记
      • Hystrix 设计与实现
  • JavaScript
    • 《写给大家看的设计书》笔记 - 设计原则
    • 《JavaScript 权威指南》笔记 - jQuery 类库
  • 数据库
    • ElasticSearch
      • ElasticSearch 概览
    • HBase
      • HBase 数据模型
    • Prometheus
      • Prometheus 概览
      • Prometheus 数据模型和指标类型
      • Prometheus 查询语法
      • Prometheus 存储原理
      • Prometheus vs InfluxDB
    • Redis
      • 《Redis 设计与实现》笔记 - 简单动态字符串
      • 《Redis 设计与实现》笔记 - 链表
      • 《Redis 设计与实现》笔记 - 字典
      • 《Redis 设计与实现》笔记 - 跳跃表
      • 《Redis 设计与实现》笔记 - 整数集合
      • 《Redis 设计与实现》笔记 - 压缩列表
      • 《Redis 设计与实现》笔记 - 对象
      • Redis 内存回收策略
      • Redis 实现分布式锁
      • Redis 持久化机制
      • Redis 数据分片方案
      • 使用缓存的常见问题
    • MySQL
      • 《高性能 MySQL》笔记 - Schema 与数据类型优化
      • 《高性能 MySQL》笔记 - 创建高性能的索引
      • 《MySQL Reference Manual》笔记 - InnoDB 和 ACID 模型
      • 《MySQL Reference Manual》笔记 - InnoDB 多版本
      • 《MySQL Reference Manual》笔记 - InnoDB 锁
      • 《MySQL Reference Manual》笔记 - InnoDB 事务模型
      • B-Tree 简述
      • 理解查询执行计划
  • 中间件
    • gRPC
      • gRPC 负载均衡
    • ZooKeeper
      • ZooKeeper 数据模型
    • 消息队列
      • 消息积压解决策略
      • RocketMQ 架构设计
      • RocketMQ 功能特性
      • RocketMQ 消息存储
  • 分布式系统
    • 《凤凰架构》笔记
    • 系统设计思路
    • 系统优化思路
    • 分布式事务协议:二阶段提交和三阶段提交
    • 分布式系统的技术栈
    • 分布式系统的弹性设计
    • 单点登录解决方案
    • 容错,高可用和灾备
  • 数据结构和算法
    • 一致性哈希
    • 布隆过滤器
    • 散列表
  • 网络协议
    • 诊断工具
    • TCP 协议
      • TCP 报文结构
      • TCP 连接管理
由 GitBook 提供支持
在本页
  • 共享 Session
  • JSON Web Token (JWT)
  • Central Authentication Service (CAS)
  1. 分布式系统

单点登录解决方案

共享 Session

@startuml

actor User order 1
participant Browser order 2
participant "SSO Server" order 3
participant App1 order 4
participant App2 order 5
database Redis order 6

== 第一次访问 App1 ==

User -> Browser: 访问 App1
activate Browser

Browser -> App1: GET https://app1.example.com/
activate App1

return 302 Location: https://sso.example.com/login?\nservice=https%3A%2F%2Fapp1.example.com%2F

activate Browser
Browser -> "SSO Server": GET https://sso.example.com/login?\nservice=https%3A%2F%2Fapp1.example.com%2F
activate "SSO Server"

return SSO 登录表单

Browser -> User: 展示 SSO 登录表单
activate User

return: 提交 SSO 登录表单

Browser -> "SSO Server": POST https://sso.example.com/login?\nservice=https%3A%2F%2Fapp1.example.com%2F
activate "SSO Server"

"SSO Server" -> "SSO Server": 认证用户

"SSO Server" -> Redis: set sso:ABC1234567 {"username": "Tom"}
activate Redis

return ok

return Set-Cookie: JSESSIONID=ABC1234567; Domain=example.com\n302 Location: https://app1.example.com/
deactivate Browser

Browser -> App1: Cookie: JSESSIONID=ABC1234567\nGET https://app1.example.com/
activate App1

App1 -> Redis: get sso:ABC1234567
activate Redis

return {"username": "Tom"}

return 200 [https://app1.example.com/]

return 展示 App1

== 第二次访问 App1 ==

User -> Browser: 访问 App1
activate Browser

Browser -> App1: Cookie: JSESSIONID=ABC1234567\nGET https://app1.example.com/resource/
activate App1

App1 -> Redis: get sso:ABC1234567
activate Redis

return {"username": "Tom"}

return 200 [https://app1.example.com/resource/]

return 展示 App1

== 第一次访问 App2 ==

User -> Browser: 访问 App2
activate Browser

Browser -> App2: Cookie: JSESSIONID=ABC1234567\nGET https://app2.example.com/
activate App2

App2 -> Redis: get sso:ABC1234567
activate Redis

return {"username": "Tom"}

return 200 [https://app2.example.com/]

return 展示 App2

@enduml

优点:

  1. 实现单点登出比较简单

缺点:

  1. 不支持跨顶级域名登录

  2. 严重依赖外部系统(Redis)

JSON Web Token (JWT)

@startuml

actor User order 1
participant Browser order 2
participant "SSO Server" order 3
participant App1 order 4
participant App2 order 5

== 第一次访问 App1 ==

User -> Browser: 访问 App1
activate Browser

Browser -> App1: GET https://app1.example.com/
activate App1

return 302 Location: https://sso.example.com/login?\nservice=https%3A%2F%2Fapp1.example.com%2F

activate Browser
Browser -> "SSO Server": GET https://sso.example.com/login?\nservice=https%3A%2F%2Fapp1.example.com%2F
activate "SSO Server"

return SSO 登录表单

Browser -> User: 展示 SSO 登录表单
activate User

return: 提交 SSO 登录表单

Browser -> "SSO Server": POST https://sso.example.com/login?\nservice=https%3A%2F%2Fapp1.example.com%2F
activate "SSO Server"

"SSO Server" -> "SSO Server": 认证用户

"SSO Server" -> "SSO Server": 生成 JWT\nheader + payload + secret -> abc.def.ghi

return Set-Cookie: abc.def.ghi; Domain=example.com\n302 Location: https://app1.example.com/
deactivate Browser

Browser -> App1: Authorization: Bearer abc.def.ghi\nGET https://app1.example.com/
activate App1

App1 -> App1: 解析 JWT\nabc.def.ghi -> header + payload + secret

return 200 [https://app1.example.com/]

return 展示 App1

== 第二次访问 App1 ==

User -> Browser: 访问 App1
activate Browser

Browser -> App1: Authorization: Bearer abc.def.ghi\nGET https://app1.example.com/resource/
activate App1

App1 -> App1: 解析 JWT\nabc.def.ghi -> header + payload + secret

return 200 [https://app1.example.com/resource/]

return 展示 App1

== 第一次访问 App2 ==

User -> Browser: 访问 App2
activate Browser

Browser -> App2: Authorization: Bearer abc.def.ghi\nGET https://app2.example.com/
activate App2

App2 -> App2: 解析 JWT\nabc.def.ghi -> header + payload + secret

return 200 [https://app2.example.com/]

return 展示 App2

@enduml

优点:

  1. 服务端无状态

缺点:

  1. 不支持跨顶级域名登录

  2. 实现单点登出(失效 Token)比较复杂

  3. 续签 Token 比较复杂

  4. 需要额外的计算成本

Central Authentication Service (CAS)

@startuml

actor User order 1
participant Browser order 2
participant "CAS Server" order 3
participant App1 order 4
participant App2 order 5

== 第一次访问 App1 ==

User -> Browser: 访问 App1
activate Browser

Browser -> App1: GET https://app1.example.com/
activate App1

return 302 Location: https://cas.example.com/cas/login?\nservice=https%3A%2F%2Fapp1.example.com%2F

activate Browser
Browser -> "CAS Server": GET https://cas.example.com/cas/login?\nservice=https%3A%2F%2Fapp1.example.com%2F
activate "CAS Server"

return CAS 登录表单

Browser -> User: 展示 CAS 登录表单
activate User

return: 提交 CAS 登录表单

Browser -> "CAS Server": POST https://cas.example.com/cas/login?\nservice=https%3A%2F%2Fapp1.example.com%2F
activate "CAS Server"

"CAS Server" -> "CAS Server": 认证用户

return Set-Cookie: CASTGC=TGT-2345678\n302 Location: https://app1.example.com/?\nticket=ST-12345678
deactivate Browser

Browser -> App1: GET https://app1.example.com/?\nticket=ST-12345678
activate App1

App1 -> "CAS Server": GET https://cas.example.com/serviceValidate?\nservice=https%3A%2F%2Fapp1.example.com%2F%3F\nticket%3DST-12345678
activate "CAS Server"

return 200 [XML]

return Set-Cookie: JSESSIONID=ABC1234567\n 302 Location: https://app1.example.com/

Browser -> App1: Cookie: JSESSIONID=ABC1234567\nGET https://app1.example.com/
activate App1

App1 -> App1: 校验 session 和 cookie

return 200 [https://app1.example.com/]

return 展示 App1

== 第二次访问 App1 ==

User -> Browser: 访问 App1
activate Browser

Browser -> App1: Cookie: JSESSIONID=ABC1234567\nGET https://app1.example.com/resource/
activate App1

App1 -> App1: 校验 session 和 cookie

return 200 [https://app1.example.com/resource/]

return 展示 App1

== 第一次访问 App2 ==

User -> Browser: 访问 App2
activate Browser

Browser -> App2: GET https://app2.example.com/
activate App2

return 302 Location: https://cas.example.com/cas/login?\nservice=https%3A%2F%2Fapp2.example.com%2F

activate Browser
Browser -> "CAS Server": Cookie: CASTGC=TGT-2345678\nGet https://cas.example.com/cas/login?\nservice=https%3A%2F%2Fapp2.example.com%2F
activate "CAS Server"

"CAS Server" -> "CAS Server": 校验 TGT

return 302 Location: https://app2.example.com/?\nticket=ST-345678
deactivate Browser

Browser -> App2: GET https://app2.example.com/?ticket=ST-345678
activate App2

App2 -> "CAS Server": GET https://cas.example.com/serviceValidate?\nservice=https%3A%2F%2Fapp2.example.com%2F%3F\nticket%3DST-345678
activate "CAS Server"

return 200 [XML]

return Set-Cookie: JSESSIONID=DEF1234567\n 302 Location: https://app2.example.com/

Browser -> App2: Cookie JSESSIONID=DEF1234567\n https://app2.example.com/
activate App2

App2 -> App2: 校验 session 和 cookie

return 200 [https://app2.example.com/]

return 展示 App2

@enduml

优点:

  1. 支持跨顶级域名登录

缺点

  1. 实现单点登出比较复杂

最后更新于1年前