前言
在多系統交互的應用場景中,單點登錄(SSO)能夠顯著提升用戶體驗,減少重復登錄的繁瑣操作。基于 Cookie 的單點登錄方案,憑借其簡單直觀、瀏覽器原生支持的特性,成為快速實現單點登錄的有效方式。本文將深入探討 Spring Boot 中基于 Cookie 實現單點登錄的原理、具體實現步驟、注意事項,并提供完整代碼示例。
一、基于 Cookie 實現單點登錄原理
1.1 基本概念
Cookie 是由服務器發送到用戶瀏覽器并存儲在本地的小型數據,可在后續的 HTTP 請求中被瀏覽器自動攜帶發送回服務器。基于 Cookie 的單點登錄,核心在于通過在多個相關系統間共享特定的 Cookie,來識別用戶的登錄狀態,從而實現一次登錄,多處訪問。
1.2 實現流程
- 用戶登錄主系統:用戶在主系統(如
main.example.com)輸入用戶名和密碼進行登錄。 - 生成并設置 Cookie:主系統驗證用戶身份通過后,生成包含用戶身份信息(如用戶 ID、用戶名等)的 Cookie,并設置該 Cookie 的
domain屬性為頂級域名(如.example.com),這樣該 Cookie 就能在所有子域名(如sub1.example.com、sub2.example.com)的系統中共享。 - 訪問其他子系統:當用戶訪問同一頂級域名下的其他子系統時,瀏覽器會自動攜帶該 Cookie。子系統接收到請求后,從 Cookie 中獲取用戶身份信息,驗證其有效性。
- 驗證通過:若驗證通過,子系統認為用戶已登錄,允許其訪問受保護資源;若驗證失敗,則引導用戶進行登錄。
二、Spring Boot 實現基于 Cookie 的單點登錄
2.1 項目搭建與依賴添加
創建 Spring Boot 項目,在pom.xml中添加 Web 相關依賴:
<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>
</dependencies>
2.2 登錄接口實現
創建AuthController類,實現用戶登錄功能,并在登錄成功后設置共享 Cookie:
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Optional;@RestController
public class AuthController {// 模擬用戶信息存儲(實際應用中從數據庫查詢)private static final String USERNAME = "admin";private static final String PASSWORD = "123456";@PostMapping("/login")public String login(@RequestParam String username, @RequestParam String password, HttpServletResponse response) {if (USERNAME.equals(username) && PASSWORD.equals(password)) {// 創建包含用戶信息的CookieCookie cookie = new Cookie("sso_token", username);// 設置Cookie的domain為頂級域名,實現共享cookie.setDomain(".example.com");cookie.setPath("/");cookie.setMaxAge(3600); // 設置Cookie有效期為1小時response.addCookie(cookie);return "登錄成功";}return "登錄失敗";}
}
2.3 受保護資源接口與驗證
創建ProtectedResourceController類,模擬受保護資源,并在請求處理前驗證 Cookie:
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import java.util.Optional;@RestController
public class ProtectedResourceController {@GetMapping("/protected")public String protectedResource(HttpServletRequest request) {Optional<Cookie> ssoCookie = Arrays.stream(request.getCookies()).filter(cookie -> "sso_token".equals(cookie.getName())).findFirst();if (ssoCookie.isPresent()) {String username = ssoCookie.get().getValue();return "歡迎," + username + "!這是受保護的資源。";}return "請先登錄";}
}
2.4 登出功能實現
創建LogoutController類,實現用戶登出功能,即刪除共享 Cookie:
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;@RestController
public class LogoutController {@GetMapping("/logout")public String logout(HttpServletResponse response) {Cookie cookie = new Cookie("sso_token", null);cookie.setDomain(".example.com");cookie.setPath("/");cookie.setMaxAge(0); // 立即失效response.addCookie(cookie);return "登出成功";}
}
三、跨域場景下的 Cookie 共享實現
當系統分布在不同域名下(跨域),直接共享 Cookie 會受到同源策略限制。可通過以下方式解決:
3.1 中間代理服務
在中間搭建一個代理服務(如 Nginx),配置反向代理規則。當子系統接收到請求時,通過代理服務轉發請求到主系統進行 Cookie 驗證,驗證通過后再將結果返回給子系統。
以 Nginx 配置為例:
server {listen 80;server_name sub1.example.com;location / {proxy_pass http://main.example.com;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Cookie $http_cookie; // 傳遞Cookie}
}
3.2 JSONP 或 CORS
- JSONP:通過動態創建
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;import java.util.Arrays;@Configuration
public class CorsConfig {@Beanpublic CorsFilter corsFilter() {CorsConfiguration config = new CorsConfiguration();config.setAllowedOrigins(Arrays.asList("http://sub1.example.com", "http://sub2.example.com"));config.setAllowCredentials(true); // 允許攜帶Cookieconfig.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));config.setAllowedHeaders(Arrays.asList("*"));UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();source.registerCorsConfiguration("/**", config);return new CorsFilter(source);}
}
四、優缺點分析
4.1 優點
- 實現簡單:利用瀏覽器原生支持的 Cookie 機制,無需復雜的協議和第三方組件,易于理解和實現。
- 性能較好:Cookie 由瀏覽器自動攜帶,服務器處理邏輯相對簡單,在同一域名下的系統間切換響應迅速。
- 兼容性強:幾乎所有瀏覽器都支持 Cookie,適用于各種前端技術棧的應用。
4.2 缺點
- 安全風險:Cookie 易受 XSS(跨站腳本攻擊)和 CSRF(跨站請求偽造)攻擊。若 Cookie 泄露,攻擊者可能冒充用戶身份。
- 大小限制:瀏覽器對單個 Cookie 的大小有限制(通常為 4KB 左右),存儲的用戶信息不能過多。
- 跨域復雜:跨域場景下實現 Cookie 共享較為復雜,需要額外的配置和處理。
五、安全防護措施
5.1 防止 XSS 攻擊
- 輸入驗證:對用戶輸入的數據進行嚴格驗證和過濾,防止惡意腳本注入。
- HttpOnly 屬性:設置 Cookie 的HttpOnly屬性為true,禁止 JavaScript 訪問 Cookie,降低 XSS 攻擊獲取 Cookie 的風險。
Cookie cookie = new Cookie("sso_token", username); cookie.setHttpOnly(true);
5.2 防止 CSRF 攻擊
- 添加 CSRF 令牌:在表單或 AJAX 請求中添加隨機生成的 CSRF 令牌,服務器驗證令牌的有效性。
- SameSite 屬性:設置 Cookie 的SameSite屬性為Strict或Lax,限制 Cookie 在跨站請求中的發送。
Cookie cookie = new Cookie("sso_token", username); cookie.setSameSite("Strict");
總結
通過本文的介紹,我們全面了解了 Spring Boot 基于 Cookie 實現單點登錄的原理、實現方式、跨域處理、優缺點及安全防護措施。雖然該方案存在一定的安全風險,但通過合理的配置和防護手段,能在許多場景下高效實現單點登錄功能。開發者可根據項目實際需求,靈活運用這些技術,打造安全、便捷的用戶認證體系。
、rsort()、asort()、arsort()、ksort()、krsort() 的適用場景與性能對比)
)
系列 PyTorch版)
)
