该项目的初衷是为了解决公司内部多个系统多套账户的登录体系、微服务平台架构以及对外提供的开放平台的认证和鉴权问题。后来整理了一下打算写成一个通用的项目。
项目分成2部分,sso-server和sso-client,前者需要单独部署用,后者用于客户端(后端,默认使用feign调用,所以需要微服务的支持以及一个注册中心,后续看情况添加httpclient支持),目前通过restful api的形式提供服务,所以没有前端界面,仅提供swagger接口文档。
该项目需要单独部署,用于提供身份认证和鉴权服务,默认提供了一些配置和可插拔接口,如果无法满足可以自定义配置和接口实现。
接口文档:${scheme}://${host}:${port}/${context}/swagger-ui.html
[必选配置]
- cas
- oauth
[可选配置]
- CrosFilter 跨域
- SafeUrlFilter 白名单访问
项目依赖:
<dependency>
<groupId>com.xjbg</groupId>
<artifactId>sso-client</artifactId>
<version>${sso-client-version}</version>
</dependency>api
[必选配置]
- cas 配置filter先后顺序如下
- CasSingleLogoutFilter 用于单点登出
- CasAuthenticationFilter 用于检查认证,其中
casServerLoginUrl必须配置为${sso-server-path}/cas/login - CasValidationFilter 用于调用sso-server的cas服务校验ticket
- oauth
[可选配置]
- cas
- SessionStorage 用于保存ticket和session的关系,默认用hashmap维护session,用于单点登出,可选方案(基于redis):spring-session和shiro-session
- SingleSignOutHttpSessionListener 使用hashmap的SessionStorage时必须配置该监听器用于移除过期的session避免oom
- cas登录流程:引导至登录页提交用户密码获取tgt->用tgt获取ticket->使用ticket调用接口。(注:ticket只能使用一次不论成功与否,成功之后客户端会在session维持登录状态不需要重复获取)
- cas代理模式:代理端每次调用接口前都需要使用tgt获取proxyTicket,使用proxyTicket调用被代理端(用于纯后端交互的场景,不涉及session和cookie)。 (注:为了兼容微服务和简化流程,rest风格的cas代理模式跟2.0协议有所不同)
- HttpStatus为403时为ticket无效或者拒绝访问
HttpStatus为401时为未授权或者权限(scope)不够
| grandType | refreshToken | support |
|---|---|---|
| 授权码模式(authorization code) | ✔ | ✔ |
| 简化模式(implicit) | × | ✔ |
| 密码模式(resource owner password credentials) | ✔ | × |
| 客户端模式(client credentials) | × | ✔ |
(注:grandType和responseType见枚举类:GrandType和ResponseType)
| 返回码 | 说明 |
|---|---|
| B1009 | 应用不支持此授权模式或授权模式不对 |
| B10011 | redirect uri的值与后台配置(注册时应用的回调uri)不一致 |
| 401 | 未授权或者权限不够 |
| 500 | 系统异常 |
- 后续有需求或者有空继续
Developer和Administrator功能的开发(应该是没空了。。)。 - 日志脱敏
![@dependabot[bot]](https://avatars.githubusercontent.com/in/29110?s=64&v=4){kind=small}