一、单点登录技术背景与核心价值

在微服务架构和分布式系统普及的今天，用户认证成为系统设计的关键环节。传统每个子系统独立认证的方式存在三大痛点：用户体验割裂（需多次登录）、维护成本高（密码策略分散）、安全风险集中（凭证重复存储）。单点登录（Single Sign-On）通过”一次认证，全网通行”的机制，有效解决这些问题。

技术实现上，SSO系统需要解决三个核心问题：身份凭证的跨域传递、会话状态的集中管理、安全认证的标准化。根据实现方式的不同，可分为自主实现方案和标准化协议方案。前者适合快速验证和小规模系统，后者更适合企业级复杂场景。

二、基于JWT的自主实现方案

1. 架构设计原理

JWT（JSON Web Token）方案采用”认证中心+客户端令牌”模式。用户首次登录时，认证中心验证身份后生成加密的JWT令牌，后续访问各子系统时携带此令牌。各子系统通过验证令牌合法性完成认证，无需再次查询认证中心。

核心优势：实现简单、无状态存储、跨域方便。典型场景：内部管理系统、同域名下的微服务集群。

2. 完整实现代码

认证中心实现（Spring Boot示例）

@RestController
@RequestMapping("/auth")
public class AuthController {
    @Value("${jwt.secret}")
    private String secret;
    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody LoginRequest request) {
        // 1. 验证用户名密码（示例省略数据库查询）
        if (!"admin".equals(request.getUsername()) || 
            !"123456".equals(request.getPassword())) {
            return ResponseEntity.status(401).body("认证失败");
        }
        // 2. 生成JWT令牌
        String token = Jwts.builder()
                .setSubject(request.getUsername())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 86400000)) // 24小时
                .claim("roles", Arrays.asList("admin", "user"))
                .signWith(SignatureAlgorithm.HS512, secret.getBytes())
                .compact();
        // 3. 返回令牌（实际项目应使用HTTPS）
        Map<String, String> response = new HashMap<>();
        response.put("token", token);
        return ResponseEntity.ok(response);
    }
}

子系统验证实现

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Value("${jwt.secret}")
    private String secret;
    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                   HttpServletResponse response, 
                                   FilterChain chain) throws ServletException, IOException {
        try {
            // 1. 从Header获取令牌
            String token = request.getHeader("Authorization");
            if (token == null || !token.startsWith("Bearer ")) {
                throw new RuntimeException("缺少令牌");
            }
            token = token.substring(7);
            // 2. 解析验证令牌
            Claims claims = Jwts.parser()
                    .setSigningKey(secret.getBytes())
                    .parseClaimsJws(token)
                    .getBody();
            // 3. 创建认证对象（示例简化）
            UsernamePasswordAuthenticationToken auth = 
                new UsernamePasswordAuthenticationToken(
                    claims.getSubject(), 
                    null, 
                    AuthorityUtils.createAuthorityList("ROLE_USER"));
            SecurityContextHolder.getContext().setAuthentication(auth);
            chain.doFilter(request, response);
        } catch (Exception e) {
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "认证失败");
        }
    }
}

3. 关键实现要点

1. 令牌安全：必须使用HTTPS传输，secret密钥需足够复杂（建议32位以上）
2. 过期处理：建议设置合理有效期（通常2-24小时），配合refresh token机制
3. 跨域支持：需配置CORS策略，允许认证中心域名携带令牌访问子系统
4. 令牌撤销：自主方案难以实现即时撤销，可通过短有效期+黑名单机制弥补

三、基于OAuth2.0的标准化方案

1. OAuth2.0协议原理

OAuth2.0采用”授权码模式”四步流程：

1. 用户访问子系统，重定向到认证中心登录
2. 认证中心验证用户后返回授权码
3. 子系统用授权码换取访问令牌
4. 子系统用访问令牌获取用户信息

核心组件：授权服务器（Auth Server）、资源服务器（Resource Server）、客户端（Client）。

2. Spring Security OAuth2实现

授权服务器配置

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private AuthenticationManager authenticationManager;
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("client1")
            .secret("{noop}secret123") // 生产环境需加密
            .authorizedGrantTypes("authorization_code", "refresh_token")
            .scopes("read", "write")
            .redirectUris("http://localhost:8081/login") // 子系统回调地址
            .accessTokenValiditySeconds(3600) // 1小时
            .refreshTokenValiditySeconds(86400); // 24小时
    }
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager)
                .tokenStore(tokenStore()) // 使用JwtTokenStore
                .accessTokenConverter(accessTokenConverter());
    }
    // 其他配置省略...
}

子系统资源服务器配置

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/api/public/**").permitAll()
            .antMatchers("/api/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated();
    }
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("your-secret-key"); // 与授权服务器一致
        return converter;
    }
}

3. 协议优势与适用场景

1. 标准化：遵循RFC 6749标准，兼容各种OAuth2.0客户端
2. 安全性：支持多种授权模式（密码模式、客户端模式等）
3. 扩展性：可与OpenID Connect结合实现完整身份层
4. 适用场景：跨企业SSO、第三方登录集成、移动端应用

四、技术选型决策树

1. 系统规模：

   • 小型系统（<5个子系统）：JWT自主方案
   • 大型企业系统：OAuth2.0方案

2. 安全要求：

   • 内部系统：JWT可接受
   • 互联网应用：必须OAuth2.0

3. 开发成本：

   • 快速原型：JWT（1-2人天）
   • 生产环境：OAuth2.0（3-5人周）

五、生产环境部署建议

1. 认证中心高可用：

   • 部署集群环境
   • 使用Redis存储会话（OAuth2.0方案）

2. 安全加固：

   • 启用HTTPS（强制TLS 1.2+）
   • 令牌加密存储
   • 定期轮换密钥

3. 监控体系：

   • 认证失败告警
   • 令牌使用统计
   • 异常登录检测

六、完整源码获取方式

本文配套源码包含：

1. JWT方案完整Maven项目
2. OAuth2.0方案多模块项目
3. 数据库脚本与配置文件
4. 测试用例与API文档

获取方式：关注公众号”开发者技术栈”，回复”SSO源码”获取GitHub仓库地址。所有代码均经过生产环境验证，包含详细注释和部署说明。

（全文约3200字，涵盖架构设计、代码实现、选型决策等完整技术链条，为开发者提供从理论到落地的全流程指导）