本期推荐的 Kisso = cookie sso 是基于 Cookie 的 SSO 中间件,它是一把快速开发 java Web 登录系统(SSO)的瑞士军刀。
SpringMvc 基于 kisso 的 sso 演示 demo
登录退出
1、启动 输入 http://localhost:8080/login 用户 kisso 密码 123
2、登录成功查看浏览器发现 kisso cookie 你成功集成 kisso 了!!
3、退出访问 http://localhost:8080/logout 查看 kisso cookie 消失权限
1、登录访问 http://localhost:8080/test/permission/index.html 有权限显示登录用户
2、测试无权限访问 http://localhost:8080/test/permission/userinfo.html 进入无权限界面kisso spring boot 演示 demo
1、启动执行 Application
2、访问
http://localhost:8080/token 提示登录
3、登录 访问
http://localhost:8080/login 成功再去 2 步骤查看
仓库
https://search.maven.org/search?q=g:com.baomidou
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>kisso</artifactId>
<version>3.8.1</version>
</dependency>使用文档
// 生成 jwt 票据,访问请求头设置‘ accessToken=票据内容 ’ 适合前后分离模式单点登录
String jwtToken = SSOToken.create().setId(1).setIssuer("admin").setOrigin(TokenOrigin.HTML5).getToken();
// 解析票据
SSOToken ssoToken = SSOToken.parser(jwtToken);
// Cookie 模式设置
SSOHelper.setCookie(request, response, new SSOToken().setId(String.valueOf(1)).setIssuer("admin"));
// 登录权限拦截器类 SSOSpringInterceptor
// 注解不拦截 @LoginIgnore
// yml 配置 kisso.config....Spring Boot
@ControllerAdvice
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
// SSO 授权拦截器
SSOSpringInterceptor ssoInterceptor = new SSOSpringInterceptor();
ssoInterceptor.setHandlerInterceptor(new LoginHandlerInterceptor());
registry.addInterceptor(ssoInterceptor).addPathPatterns("/**").excludePathPatterns("/v1/sso/**");
}
}默认 HS512 算法
// HS512 密钥,配置参数 kisso.config.sign-key
SSOHelper.getHS512SecretKey()切换 RS512 算法
1.配置算法
kisso.config.sign-algorithm = RS512
2.配置私钥公钥证书,默认放置 resources 目录即可
// RSA 密钥,配置参数 kisso.config.rsa-jks-store
// 其它参数 CN=Server,OU=Unit,O=Organization,L=City,S=State,C=US
// RSA 生成 jks 密钥
$ keytool -genkeypair -alias jwtkey -keyalg RSA -dname "CN=llt" -keypass keypassword -keystore key.jks -storepass jkspassword
// RSA 生成证书
// RSA 公钥,配置参数 kisso.config.rsa-cert-store
$ keytool -export -alias jwtkey -file public.cert -keystore key.jks -storepass jkspassword常见安全策略
1.Secure 标记为 Secure 的 Cookie 只应通过被HTTPS协议加密过的请求发送给服务端。使用 HTTPS 安全协议,可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改
2.HTTPOnly 设置 HTTPOnly 属性可以防止客户端脚本通过 document.cookie 等方式访问 Cookie,有助于避免 XSS 攻击
3.SameSite SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)
SameSite 可以有下面三种值:
1、Strict仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致。
2、Lax允许部分第三方请求携带 Cookie
3、None无论是否跨站都会发送 Cookie
造成现在无法获取cookie是因为之前默认是 None 的,Chrome80 后默认是 Lax安全配置如下:
kisso:
config:
# 开启 https 有效,传输更安全
cookie-secure: true
# 防止 XSS 防止脚本攻击
cookie-http-only: true
# 防止 CSRF 跨站攻击
cookie-same-site: Lax
# 加密算法 RSA
sign-algorithm: RS512
