Foxnic-Web 实现单点登录(SSO)

概述

  所谓单点登录（Single Sign On），简称为 SSO，就是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
  任何系统接入SSO前需要完成两个步骤，
  1、主数据同步： 这些主数据包括组织、账户、权限信息等，从外部系统(可以是MDM、OA、HR等)同步本系统需要的这些数据。
  2、实现SSO跳转页： 门户系统会将令牌传递至当前系统，当前系统需要读取令牌中的内容，在本系统完成账户认证的操作。

组织与账户同步

  在单点登录之前，首先要确保组织节点、账户等信息已经同步到系统中，组织、账户同步可以有很多中方式，这里不再赘述。

TokenReader

  SSO 对接工作的核心是读取令牌(Token)值，并转换为本系统的 userId。Foxnic-Web 已经对SSO集成做了很大的简单化，仅需实现一个 TokenReader 即可，如下代码所示。

import com.github.foxnic.api.transter.Result;
import org.github.foxnic.web.domain.oauth.User;
import org.github.foxnic.web.framework.sso.TokenReader;
import org.github.foxnic.web.language.Language;
import org.github.foxnic.web.proxy.oauth.UserServiceProxy;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;

@Component
    public class FoxnicTokenReader extends TokenReader {
        /**
* 从请求中读取账户
* */
        @Override
        public String readUserId(HttpServletRequest request) {
            // 读取token
            String account=request.getParameter("account");
            // 把读取的 token 转换为 userId
            Result<User> userResult = UserServiceProxy.api().getByAccount(account);
            if(userResult.failure()) return null;
            if(userResult.data()==null) return null;
            // 最终返回 userId
            return userResult.data().getId();
        }

        /**
* 从请求中读取用户指定的语言
* */
        @Override
        public Language readLanguage(HttpServletRequest request) {
            return Language.zh_cn;
        }
    }

系统配置

  TokenReader 定义后需要在 YML 文件中的 security.token-resders 指定，可以指定一个，也可以指定多个，若指定多个则按顺序调用。如下图所示：

SSO 跳转

  在 Foxnic-Web 中，sso 跳转也为 /sso-login.html 。针对不同的场景可以指定不同的参数值：
  format ：响应方式，可选值包括：html/json。html 通常用于pc端，完成登录后，自动跳转到指定页面。json 方式主要用于移动端等非网页的场合。
  redirect : 指定登录后的跳转页面，format 为 html 时有效，默认为 /index.html

登出与拦截

  如果当前系统集成了单点登录，那么就需要在系统登出后或会话过期时跳转到Portal自己的登录页，而不是当前系统的登录页。此时需要到系统管理下的系统参数设置两个参数：
  system.external.portal.enable：此参数开启时，表示当前系统与外部Portal系统做了集成。
  system.external.portal.loginURL：当 system.external.portal.enable 参数开启时，指定外部门户的登录页面地址。

登录身份识别

  登录身份识别与优先级的定义其实是常规登录中(非SSO)的一个概念，当用户在登录界面的输入框输入时，可能会输入帐号，也可能输入的是手机号、email、工号等。总之，从技术角度讲，账户表本身或任何与账户表有关联关系的表的字段，只要他唯一，就可以用于身份识别。那么，如何确保正确识别呢？ Foxnic-Web 使用了身份优先级配置这个特性。
  Foxnic-Web 的常规登录，目前支持 账户ID，账户名称、手机号、工号，这四种，这些以支持的类型在 LoginIdentityType 枚举类型中定义。为了避免识别的冲突，需要在试试时指定他们的优先级，YML 文件如下所示：

  其中，账户ID作为最高优先级无法修改，其它登录身份识别标识可以通过YML文件调整识别的优先级。

相关项目

  https://gitee.com/LeeFJ/foxnic
  https://gitee.com/LeeFJ/foxnic-web
  https://gitee.com/lank/eam
  https://gitee.com/LeeFJ/foxnic-samples

官方文档

  http://foxnicweb.com/docs/doc.html