单点登录Java

<think>好的，我现在需要回答用户关于如何在Java中实现单点登录（SSO）的示例教程。根据用户提供的引用资料，我需要结合理论、流程和具体代码来详细解释。首先，我需要回忆SSO的基本概念和核心组件，然后查看用户提供的引用内容，找出相关的实现方法、框架和代码示例。 用户提到的引用中，引用[1]和[4]提到了SSO的原理、流程以及使用Spring Security等框架。引用[2]提到了使用开源框架如Spring Security、Keycloak、Okta来简化实现。引用[3]提供了一个简单的Servlet示例，可能涉及处理HTTP请求。引用[4]还提到了OAuth2、SAML协议以及高可用认证中心的构建。 首先，我应该确定SSO的基本流程：用户访问应用1，未登录则跳转到认证中心；登录成功后，认证中心颁发令牌；用户携带令牌访问其他应用，应用向认证中心验证令牌。这个过程需要跨域认证和令牌管理。 接下来，考虑具体实现步骤。用户可能需要一个简单的示例，所以基于Spring Security和JWT可能比较合适，因为引用[2]和[4]提到这些。需要创建一个认证中心服务和一个应用服务，使用JWT作为令牌，并在应用间共享令牌信息。 然后，代码部分需要包括认证中心的登录接口、令牌生成，以及应用服务的令牌验证。引用[3]中的Servlet代码可能用于处理HTTP请求，但结合Spring Boot会更现代和方便。需要确保代码示例正确，比如使用Spring Security配置、生成JWT、处理重定向等。 另外，需要考虑安全性，如HTTPS、令牌存储、签名验证。引用[4]提到全栈安全加固，包括JWT管理和分布式缓存，可能需要在示例中提及这些注意事项。 可能还需要对比不同协议，如OAuth2和SAML，但用户要求的是示例教程，所以可能先以OAuth2为例，因为Spring Security对其支持较好。 最后，生成相关问题，确保问题覆盖原理、优化、协议比较和应用场景，如引用[1]和[4]中的内容。需要确保回答结构清晰，分步骤解释，代码正确，并自然插入引用标记。 总结，步骤大致如下： 1. 解释SSO流程和核心组件。 2. 技术选型：Spring Security + JWT。 3. 搭建认证中心，处理登录和令牌生成。 4. 搭建应用服务，验证令牌。 5. 提供代码示例，并说明关键点。 6. 强调安全注意事项。 7. 生成相关问题。</think>### Java实现单点登录（SSO）分步示例教程 #### 一、SSO核心流程与组件 单点登录的核心是通过**统一认证中心**管理用户身份，其他应用通过令牌验证信任该中心。流程如下： 1. 用户访问应用A，未登录则跳转至认证中心； 2. 用户在认证中心完成登录，获得加密令牌（如JWT）； 3. 应用A携带令牌向认证中心验证身份[^1]； 4. 用户访问应用B时，应用B通过令牌自动完成登录验证[^4]。 #### 二、技术选型与依赖 基于Java生态推荐方案： - **认证中心**：Spring Boot + Spring Security - **令牌协议**：JWT（JSON Web Token） - **依赖**： ```xml <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` #### 三、认证中心实现 ##### 1. 登录接口与令牌生成 ```java @RestController public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request) { // 1. 验证用户名密码（示例简化） if (!"admin".equals(request.getUsername()) || !"123456".equals(request.getPassword())) { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } // 2. 生成JWT令牌 String token = Jwts.builder() .setSubject(request.getUsername()) .setExpiration(new Date(System.currentTimeMillis() + 3600_000)) .signWith(SignatureAlgorithm.HS512, "secretKey") .compact(); return ResponseEntity.ok(new TokenResponse(token)); } } ``` ##### 2. 令牌验证配置 ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(new JwtFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` #### 四、应用服务端实现 ##### 1. 令牌拦截与验证 ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String token = request.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { try { Claims claims = Jwts.parser() .setSigningKey("secretKey") .parseClaimsJws(token.replace("Bearer ", "")) .getBody(); // 将用户信息存入SecurityContext SecurityContextHolder.getContext().setAuthentication( new UsernamePasswordAuthenticationToken(claims.getSubject(), null, new ArrayList<>()) ); } catch (Exception e) { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token"); } } chain.doFilter(request, response); } } ``` #### 五、关键注意事项 1. **跨域支持**：需配置CORS允许认证中心和应用域名； 2. **令牌存储**：建议使用Redis集中管理令牌状态[^4]； 3. **安全加固**： - 必须使用HTTPS传输 - JWT签名密钥需定期轮换 - 设置合理的令牌过期时间[^2]