基于Redis的SSO跨域认证实践（sso Redis跨域）

Single Sign On (SSO)认证被广泛用于大部分复杂的单点登录（SSO）系统场景，可以实现用户在跨域环境下的统一认证和访问控制。基于Redis的跨域SSO认证实践，是基于基于分布式的缓存系统Redis的结合而成的，给大家提供了一种较为安全、高性能的实现方案。

该方案保持客户端、服务器端无状态化，在客户端登录成功后，服务端将会生成一个令牌返回客户端；客户端将此令牌采用AES加密后存入到浏览器cookie；后续 url 请求将此令牌发送到服务器端，服务器端将此令牌从Redis中取出进行校验，如果校验通过则登录成功。

方案的实现，不但少了cookie的弊端管理成本，还实现了无状态的会话跟踪。具体的实现示例代码如下：

客户端：

//登录成功，生成令牌
String token = UUID.randomUUID().toString;
//令牌采用AES加密后存入浏览器 cookie
string encryptedToken = AESUtils.encrypt(token);
Cookie tokenCookie = new Cookie("token", encryptedToken);
// 放入 Redis 中
redis.set(token, userid);

服务端：

// 从 Cookie 中获取 token
Cookie tokenCookie = request.getCookie("token");
if (tokenCookie == null) {
 // cookie 无令牌，登录失败
} else {
 String encryptedToken = tokenCookie.getValue();
 String token = AESUtils.decrypt(encryptedToken);
 // 从 Redis 中取出 token
 String redisToken = redis.get(token);
 if (redisToken == null) { 
  // Redis 中没有 token ，登录失败
 } else {
  // Redis 中有 token ，验证成功，获取用户信息！
  User user = userService.getById(redisToken);
  if (user != null) {
   // 登录成功！
  } else {
   // 登录失败！
  }
 }
}

以上代码展示了一种简单的基于Redis的跨域SSO认证方案，实现了用户在跨域环境下的统一认证和访问控制。优点：安全又高性能的实现方式；缺点：扩展灵活度低。综上所述，基于Redis的SSO跨域认证在大型系统中有着重要的地位，也非常具有参考价值。