Java 企业应用单点登录(SSO)实现方案详解
在现代企业应用中,单点登录(SSO, Single Sign-On)是一种非常常见的需求。通过
SSO,用户只需一次登录即可访问多个系统或应用,无需重复输入账号密码。本文将从 Java
技术角度,介绍几种常见的单点登录实现方案,并分析它们的特点、适用场景,同时提供架构图和流程时序图示意,帮助开发者快速理解和落地实现。
1. OAuth2 + JWT(JSON Web Tokens)方案
概念
OAuth2 是一个开放授权标准,允许用户授权第三方应用访问其存储在服务提供商的数据,而无需直接提供用户名和密码。JWT 是一种自包含的身份认证和授权令牌,通常与 OAuth2 配合使用,实现无状态的跨系统认证。
实现思路
- 用户在客户端应用登录,授权服务器验证用户身份。
- 授权服务器生成签名的 JWT 作为 Access Token,返回给客户端。
- 客户端在访问资源服务器时,将 JWT 放入 HTTP Header(
Authorization: Bearer <token>)。 - 资源服务器通过 JWT 签名验证,确认用户身份和权限。
技术栈
- Spring Security OAuth2
jjwt或Nimbus JOSE + JWT库
优点
- 无状态,适合微服务架构
- 可实现跨系统授权
- Token 可自包含用户信息,无需频繁访问数据库
适用场景
- 对外提供 API 的应用
- 微服务系统间的无状态认证
架构图
流程时序图
2. CAS(Central Authentication Service)单点登录方案
概念
CAS 是一个开源企业级 SSO 解决方案,提供服务端和客户端组件,实现多应用间统一登录。
实现思路
- 用户访问任意子系统,发现未登录,跳转到 CAS 登录中心。
- 用户在 CAS 登录中心输入账号密码,认证成功后生成 Service Ticket 返回子系统。
- 子系统使用 Service Ticket 向 CAS 验证用户身份,并生成本地会话。
技术栈
- Spring Security CAS 客户端
- CAS Server
优点
- 标准化成熟,社区活跃
- 支持跨域、多系统 SSO
- 会话管理灵活
适用场景
- 企业内部系统单点登录
- 多应用门户或办公系统
架构图
流程时序图
3. Spring Security + OAuth2
概念
Spring Security 提供强大的身份认证和授权能力,结合 OAuth2 可实现企业级单点登录,兼顾认证和授权。
实现思路
- 使用 Spring Security 处理用户登录、认证和权限控制。
- 使用 OAuth2 管理多个应用间访问授权。
- 客户端应用通过 OAuth2 获取访问令牌,实现跨应用 SSO。
技术栈
- Spring Security
- Spring Security OAuth2 Client / Resource Server
优点
- 功能全面,可处理认证和授权
- 支持微服务和 API 接口
- 多种认证方式支持(表单、JWT、OAuth2)
适用场景
- 内部系统和对外 API 混合场景
- 企业级应用安全统一管理
架构图
流程时序图
4. Spring Session
概念
Spring Session 提供集中式会话管理,支持多应用共享登录状态,实现 SSO。
实现思路
- 用户会话信息存储在集中式存储(Redis、JDBC 等)。
- 各子系统通过 Spring Session 获取会话信息,实现共享登录状态。
- 用户只需登录一次,多个应用即可识别同一会话。
技术栈
- Spring Session
- Redis / JDBC / Hazelcast
优点
- 实现简单,开发成本低
- 对已有 Session 改造成本小
- 适合多应用共享登录状态
适用场景
- 内部系统
- 会话共享为主的小型 SSO 场景
架构图
流程时序图
5. Sa-Token 实现单点登录
概念
Sa-Token 是国产轻量级 Java 权限认证框架,支持分布式 SSO,实现简单快速。
实现思路
- 用户在 Sa-Token 提供的 SSO Server 登录一次。
- 子系统(SSO Client)通过票据访问 SSO Server 校验身份。
- 子系统获取用户信息后生成本地登录态,实现单点登录。
技术栈
- Sa-Token 核心库
- Redis / 数据库用于会话存储(可选)
优点
- 轻量、配置简单
- 支持同域和跨域 SSO
- 支持分布式会话和权限管理
适用场景
- 微服务系统
- 内部多应用统一认证
- 轻量级、快速实现 SSO
架构图
流程时序图
6. 各方案对比
| 实现方案 | 特点 | 适用场景 |
|---|---|---|
| OAuth2 + JWT | 无状态、适合微服务和 API | 对外提供 API 接口的应用 |
| CAS | 成熟标准化、跨域 SSO、会话管理灵活 | 内部系统单点登录、多应用门户 |
| Spring Security + OAuth2 | 认证+授权完整解决方案 | 内部系统 + API 混合场景 |
| Spring Session | 会话共享、实现简单 | 内部系统、会话共享场景 |
| Sa-Token | 轻量、快速、支持分布式 SSO | 内部系统、多子系统、微服务场景 |
选择要点
- OAuth2 + JWT:API / 微服务场景,无状态认证
- CAS:企业内部 SSO,成熟可靠
- Spring Security + OAuth2:通用方案,认证和授权统一管理
- Spring Session:最简单的会话共享 SSO
- Sa-Token:轻量快速,分布式场景
7. 综合技术架构对比
8. 方案选择决策树
总结
本文详细介绍了 5 种 Java 企业应用单点登录实现方案,每种方案都有其适用场景:
- OAuth2 + JWT: 适合微服务架构和对外 API 场景
- CAS: 适合企业内部系统的标准化 SSO
- Spring Security + OAuth2: 适合需要完整认证授权的混合场景
- Spring Session: 适合简单的会话共享需求
- Sa-Token: 适合快速实现和轻量级分布式场景
通过架构图和时序图的对比,开发者可以根据实际业务需求、技术栈选择和团队能力,选择最适合的单点登录解决方案。