当前位置：首页 > article >正文

Spring Boot 基于 Cookie 实现单点登录：原理、实践与优化详解

article 2025/9/29 13:37:02

前言

在多系统交互的应用场景中，单点登录（SSO）能够显著提升用户体验，减少重复登录的繁琐操作。基于 Cookie 的单点登录方案，凭借其简单直观、浏览器原生支持的特性，成为快速实现单点登录的有效方式。本文将深入探讨 Spring Boot 中基于 Cookie 实现单点登录的原理、具体实现步骤、注意事项，并提供完整代码示例。

一、基于 Cookie 实现单点登录原理

1.1 基本概念

Cookie 是由服务器发送到用户浏览器并存储在本地的小型数据，可在后续的 HTTP 请求中被浏览器自动携带发送回服务器。基于 Cookie 的单点登录，核心在于通过在多个相关系统间共享特定的 Cookie，来识别用户的登录状态，从而实现一次登录，多处访问。

1.2 实现流程

用户登录主系统：用户在主系统（如main.example.com）输入用户名和密码进行登录。
生成并设置 Cookie：主系统验证用户身份通过后，生成包含用户身份信息（如用户 ID、用户名等）的 Cookie，并设置该 Cookie 的domain属性为顶级域名（如.example.com），这样该 Cookie 就能在所有子域名（如sub1.example.com、sub2.example.com）的系统中共享。
访问其他子系统：当用户访问同一顶级域名下的其他子系统时，浏览器会自动携带该 Cookie。子系统接收到请求后，从 Cookie 中获取用户身份信息，验证其有效性。
验证通过：若验证通过，子系统认为用户已登录，允许其访问受保护资源；若验证失败，则引导用户进行登录。

二、Spring Boot 实现基于 Cookie 的单点登录

2.1 项目搭建与依赖添加

创建 Spring Boot 项目，在pom.xml中添加 Web 相关依赖：

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>
</dependencies>

2.2 登录接口实现

创建AuthController类，实现用户登录功能，并在登录成功后设置共享 Cookie：

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Optional;@RestController
public class AuthController {// 模拟用户信息存储（实际应用中从数据库查询）private static final String USERNAME = "admin";private static final String PASSWORD = "123456";@PostMapping("/login")public String login(@RequestParam String username, @RequestParam String password, HttpServletResponse response) {if (USERNAME.equals(username) && PASSWORD.equals(password)) {// 创建包含用户信息的CookieCookie cookie = new Cookie("sso_token", username);// 设置Cookie的domain为顶级域名，实现共享cookie.setDomain(".example.com");cookie.setPath("/");cookie.setMaxAge(3600); // 设置Cookie有效期为1小时response.addCookie(cookie);return "登录成功";}return "登录失败";}
}

2.3 受保护资源接口与验证

创建ProtectedResourceController类，模拟受保护资源，并在请求处理前验证 Cookie：

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import java.util.Optional;@RestController
public class ProtectedResourceController {@GetMapping("/protected")public String protectedResource(HttpServletRequest request) {Optional<Cookie> ssoCookie = Arrays.stream(request.getCookies()).filter(cookie -> "sso_token".equals(cookie.getName())).findFirst();if (ssoCookie.isPresent()) {String username = ssoCookie.get().getValue();return "欢迎，" + username + "！这是受保护的资源。";}return "请先登录";}
}

2.4 登出功能实现

创建LogoutController类，实现用户登出功能，即删除共享 Cookie：

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;@RestController
public class LogoutController {@GetMapping("/logout")public String logout(HttpServletResponse response) {Cookie cookie = new Cookie("sso_token", null);cookie.setDomain(".example.com");cookie.setPath("/");cookie.setMaxAge(0); // 立即失效response.addCookie(cookie);return "登出成功";}
}

三、跨域场景下的 Cookie 共享实现

当系统分布在不同域名下（跨域），直接共享 Cookie 会受到同源策略限制。可通过以下方式解决：

3.1 中间代理服务

在中间搭建一个代理服务（如 Nginx），配置反向代理规则。当子系统接收到请求时，通过代理服务转发请求到主系统进行 Cookie 验证，验证通过后再将结果返回给子系统。

以 Nginx 配置为例：

server {listen 80;server_name sub1.example.com;location / {proxy_pass http://main.example.com;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Cookie $http_cookie; // 传递Cookie}
}

3.2 JSONP 或 CORS

JSONP：通过动态创建

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;import java.util.Arrays;@Configuration
public class CorsConfig {@Beanpublic CorsFilter corsFilter() {CorsConfiguration config = new CorsConfiguration();config.setAllowedOrigins(Arrays.asList("http://sub1.example.com", "http://sub2.example.com"));config.setAllowCredentials(true); // 允许携带Cookieconfig.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));config.setAllowedHeaders(Arrays.asList("*"));UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();source.registerCorsConfiguration("/**", config);return new CorsFilter(source);}
}

四、优缺点分析

4.1 优点

实现简单：利用浏览器原生支持的 Cookie 机制，无需复杂的协议和第三方组件，易于理解和实现。
性能较好：Cookie 由浏览器自动携带，服务器处理逻辑相对简单，在同一域名下的系统间切换响应迅速。
兼容性强：几乎所有浏览器都支持 Cookie，适用于各种前端技术栈的应用。

4.2 缺点

安全风险：Cookie 易受 XSS（跨站脚本攻击）和 CSRF（跨站请求伪造）攻击。若 Cookie 泄露，攻击者可能冒充用户身份。
大小限制：浏览器对单个 Cookie 的大小有限制（通常为 4KB 左右），存储的用户信息不能过多。
跨域复杂：跨域场景下实现 Cookie 共享较为复杂，需要额外的配置和处理。

五、安全防护措施

5.1 防止 XSS 攻击

输入验证：对用户输入的数据进行严格验证和过滤，防止恶意脚本注入。
HttpOnly 属性：设置 Cookie 的HttpOnly属性为true，禁止 JavaScript 访问 Cookie，降低 XSS 攻击获取 Cookie 的风险。
```
Cookie cookie = new Cookie("sso_token", username);
cookie.setHttpOnly(true);
```

5.2 防止 CSRF 攻击

添加 CSRF 令牌：在表单或 AJAX 请求中添加随机生成的 CSRF 令牌，服务器验证令牌的有效性。
SameSite 属性：设置 Cookie 的SameSite属性为Strict或Lax，限制 Cookie 在跨站请求中的发送。
```
Cookie cookie = new Cookie("sso_token", username);
cookie.setSameSite("Strict");
```

总结

通过本文的介绍，我们全面了解了 Spring Boot 基于 Cookie 实现单点登录的原理、实现方式、跨域处理、优缺点及安全防护措施。虽然该方案存在一定的安全风险，但通过合理的配置和防护手段，能在许多场景下高效实现单点登录功能。开发者可根据项目实际需求，灵活运用这些技术，打造安全、便捷的用户认证体系。

前言