mirror of
https://gitee.com/dromara/sa-token.git
synced 2025-05-04 04:37:56 +08:00
243 lines
12 KiB
Markdown
243 lines
12 KiB
Markdown
# 用户数据同步 / 迁移
|
||
|
||
本篇文章仅提供架构设计的略微参考,真实场景中每个公司的架构设计都是千差万别的,一套设计理论未必能够适应所有公司的项目。
|
||
所以如果你觉着本篇文章的设计理念不能契合你公司的需求,请以你公司的原设计为准。
|
||
|
||
---
|
||
|
||
### 数据同步需求
|
||
|
||
在前面的不同架构 SSO 对接示例中,我们均假设了一个前提:
|
||
|
||
-- _所有的 sso-client 只负责业务操作,不存储 user 数据,user 数据全部来源于 sso-server,包括登录认证也都是基于 sso-server 里的 user 账号进行校验操作。_
|
||
|
||
这种架构比较简洁、清晰,是一种理想化的 SSO 架构模型。
|
||
|
||
然而更多时候,我们遇到的实际情况是:
|
||
|
||
-- _公司已经有了 N 多个系统,每个系统都有自己独立的一套账号认证体系,现在老板要让这 N 个毫无关系的系统集成单点登录。_
|
||
|
||
要完成这种需求,首先你得考虑两个问题:
|
||
1. 问题一:sso-client 需不需要保留 user 数据。
|
||
- sso-client 不涉及 user 信息连表查的业务,就可以不保留 user 信息。
|
||
- sso-client 涉及 user 信息连表查业务,就需要在 sso-client 保留 user 数据。
|
||
2. 问题二:如果保留的话,是和 sso-server 强同步,还是弱同步。
|
||
- 强同步就是指 sso-client 的 user 数据和 sso-server 的 user 数据,字段值必须保持一致。比如说:一个用户在server端昵称修改为“张三”,那么在 client 端也要实时同步修改。
|
||
- 弱同步就是指两边可以各改各的。比如说:一个用户 server 端修改了昵称为 “张三”,他在 client 端依然可以昵称为 “李四”。
|
||
|
||
|
||
由此可大致分为三种设计方案:
|
||
|
||
| 方案序号 | 方案名称 | 简单说明 | 适用系统 |
|
||
| :-------- | :-------- | :-------- | :-------- |
|
||
| 方案一 | 统一迁移 | 统一把用户数据迁移到 sso-server 认证中心再进行对接 | 比较简单的系统,业务上不需要 user 信息连表查 |
|
||
| 方案二 | 实时同步 | 按照一定的规则,使 sso-client 和 sso-server 保持 user 信息实时同步 | 一般业务上需要 user 信息连表查的系统 |
|
||
| 方案三 | 字段关联 | 不同步,但找一个关键字段,将 sso-client 和 sso-server 的 user 账号进行关联起来 | sso-client 不打算过分依赖 sso-server 的 user 数据,只是想借助 sso-server 完成一下统一登录 |
|
||
|
||
下面逐一拆解三种方案具体实现。
|
||
|
||
|
||
### 1、方案一:统一迁移
|
||
|
||
对接工作开发前,sso-client 的 user 数据完全迁移到 sso-server 中,且自身不再保留 user 数据,只进行业务数据处理操作。
|
||
|
||
这种方案其实不必过多讲解,因为数据完成迁移后整个架构就转化为了上述的“理想化SSO模型”,后续对接也比较方便。
|
||
迁移方式可以选择数据库同步工具,或者手写代码从 sso-client 库读取数据然后 insert 到 sso-server 库中。
|
||
这并非此文探讨的重点,因此不再过多赘述了。
|
||
|
||
- 方案优点:架构简洁明了,SSO 登录、注销对接起来非常方便
|
||
- 方案缺点:sso-client 不存储 user 信息,因此业务上需要连表查询 user 信息的地方会比较麻烦(例如:拉取帖子列表时需要附加显示用户头像和昵称信息)
|
||
|
||
方案适用范围:适合业务比较简单,不涉及 user资料连表查业务 的子系统。
|
||
|
||
|
||
### 2、方案二:实时同步
|
||
|
||
首先,对接前,数据还是要迁移的,只不过迁移后 sso-client 的 user 数据不删除掉,依然保留。
|
||
|
||
然后在项目运行阶段,每当 sso-server 的 user 数据发生变动时(增删改),逐一向每个 sso-client 推送变化信息。使 sso-client 与 sso-server 的 user 数据保持强同步。
|
||
|
||
你可能会有疑问,那 sso-client 的 user 数据发生变动时,要不要向 sso-server 推送信息,我的建议是:尽量不要让 sso-client 的 user 信息主动发生变化。
|
||
|
||
举个例子:
|
||
|
||
> 公司有电商、论坛、短视频 3 个子系统 + 1 个 sso-server 认证中心,无论用户从哪个子系统点击 “修改我的资料” 按钮时,都应该统一跳转到 sso-server 认证中心进行修改,
|
||
> 修改完毕后再由 sso-server 将 user 信息推送至 3 个子系统。以此来保证 4 个系统间的 user 信息同步。
|
||
|
||
- 方案优点:sso-client 存储了 user 信息,可以比较方便的进行 user 连表查操作。
|
||
- 方案缺点:sso-server 与 sso-client 的 user 数据同步功能不算简单,开发起来可能要耗费一段不小的工期。
|
||
|
||
方案适用范围:一般业务上需要 user 信息连表查的子系统都适合。
|
||
|
||
|
||
### 3、方案三:字段关联
|
||
|
||
如果子系统不需要和 sso-server 做到信息强同步,可以使用字段关联法做到账户关联进行登录。
|
||
|
||
举个例子:公司有三个子系统,电商、论坛、短视频。同一个用户可以在这三个子系统以及 sso-server 认证中心拥有不同的昵称、头像等信息,互不干扰。
|
||
|
||
例如,在 sso-server 认证中心里,张三的数据库信息为:
|
||
|
||
| id | username | avatar | password | age | email |
|
||
| :-------- | :-------- | :-------- | :-------- | :-------- | :-------- |
|
||
| 10001 | ... | ... | ... | ... | ... |
|
||
| 10002 | 小明 | cat.jpg | 123456 | 18 | `23397@xx.com` |
|
||
| 10003 | ... | ... | ... | ... | ... |
|
||
|
||
在电商系统里中,张三的数据库信息为:
|
||
|
||
| id | name | avatar | money | email |
|
||
| :-------- | :-------- | :-------- | :-------- | :-------- |
|
||
| 100334 | ... | ... | ... | ... |
|
||
| 100335 | 二明 | dog.jpg | 1000 | `23397@xx.com` |
|
||
| 100336 | ... | ... | ... | ... |
|
||
|
||
这里的关键点在于,虽然用户 “张三” 在每个系统里的资料都是不同的,但是程序要想办法将它们识别为同一个用户,
|
||
要做到这一点,就需要我们准备一个关键字段将信息打通串联起来。例如表中的 “邮箱” 信息可以作为这个“关联字段”。
|
||
|
||
(注:此处仅展示使用邮箱作为关联字段的操作,实际上除了邮箱以外,手机号、身份证号等具有唯一性的信息都可以作为关联字段)
|
||
|
||
首先,在 sso-server 端,我们需要重写一下 `checkTicketAppendData` 函数,使其在 “校验 ticket 返回 loginId” 时,追加返回 email 字段。
|
||
|
||
``` java
|
||
// 配置SSO相关参数
|
||
@Autowired
|
||
private void configSso(SaSsoServerConfig ssoServer) {
|
||
|
||
// 其它配置 ...
|
||
|
||
// 配置:Ticket校验函数
|
||
ssoServer.checkTicketAppendData = (loginId, result) -> {
|
||
System.out.println("-------- 追加返回信息到 sso-client --------");
|
||
|
||
// 在校验 ticket 后,给 sso-client 端追加返回信息的函数
|
||
SysUser user = sysUserMapper.getById(loginId);
|
||
result.set("email", user.getEmail());
|
||
// result.set("user", user); // 你也可以将整个user 对象的信息都返回到 sso-client,自由决定
|
||
|
||
return result;
|
||
};
|
||
|
||
}
|
||
```
|
||
|
||
在 sso-client 端,重写 ticketResultHandle 函数,根据 sso-server 返回的信息查询本地 user 信息并登录:
|
||
|
||
``` java
|
||
// 配置SSO相关参数
|
||
@Autowired
|
||
private void configSso(SaSsoClientConfig ssoClient) {
|
||
|
||
// 其它配置 ...
|
||
|
||
// 自定义校验 ticket 返回值的处理逻辑 (每次从认证中心获取校验 ticket 的结果后调用)
|
||
ssoClient.ticketResultHandle = (ctr, back) -> {
|
||
System.out.println("--------- 自定义 ticket 校验结果处理函数 ---------");
|
||
System.out.println("此账号在 sso-server 的 userId:" + ctr.loginId);
|
||
System.out.println("此账号在 sso-server 会话剩余有效期:" + ctr.remainSessionTimeout + " 秒");
|
||
System.out.println("此账号返回的 email 信息:" + ctr.result.get("email"));
|
||
|
||
// 模拟代码:
|
||
// 根据 email 字段找到此账号在本系统对应的 user 信息
|
||
String email = (String) ctr.result.get("email");
|
||
SysUser user = sysUserMapper.getByEmail(email);
|
||
|
||
// 如果找不到,说明是首次登录本系统的新用户,需要自动注册一个新账号给他
|
||
if(user == null) {
|
||
// 涉及到数据库操作,此处仅做模拟代码
|
||
// 1、构建 user 信息
|
||
// 2、插入到数据库
|
||
// 3、查询出最新刚插入的这条 user 信息
|
||
user = sysUserMapper.getByEmail(email);
|
||
}
|
||
|
||
// 进行登录
|
||
StpUtil.login(user.getId(), ctr.remainSessionTimeout);
|
||
StpUtil.getSession().set("user", user);
|
||
|
||
// 一切工作完毕,重定向回 back 页面
|
||
return SaHolder.getResponse().redirect(back);
|
||
};
|
||
|
||
}
|
||
```
|
||
|
||
至此完毕。
|
||
|
||
- 方案优点:
|
||
- 1、sso-client 不需要和 sso-server 保持信息强同步,实现起来不复杂,架构也比较清晰易维护。
|
||
- 2、同一个用户的信息,sso-client 可以和 sso-client 保持不同,各自维护各自的,互不干扰。
|
||
- 方案缺点:好像没啥缺点,除非你觉着上述的第2条优点属于缺点。
|
||
|
||
方案适用范围:在 user 信息方面不打算过分依赖 sso-server 的系统,希望自己维护自己的 user 信息,只是想借助 sso-server 完成一下统一登录。
|
||
|
||
|
||
### 4、扩展:没有关联字段
|
||
|
||
如果我们的子系统 user 表没有邮箱、手机号等唯一性字段和 sso-server 的 user 表进行关联,该怎么办呢?
|
||
|
||
没有字段,那就创造个字段,例如:
|
||
|
||
| id | name | avatar | age | center_id |
|
||
| :-------- | :-------- | :-------- | :-------- | :-------- |
|
||
| 205421 | ... | ... | ... | ... |
|
||
| 205422 | 小风筝 | dog.jpg | 21 | 10002 |
|
||
| 205423 | ... | ... | ... | ... |
|
||
|
||
如上表所示,我们可以在子系统的 user 表新增一列 `center_id`,记录这个用户在认证中心所属的账号id。然后在登录时根据这个 `center_id` 来查找相应的用户。
|
||
|
||
由于 sso-server 端默认就是会返回 loginId 参数的,因此在 sso-server 端不必再重写一下 `checkTicketAppendData` 函数来追加返回信息了,
|
||
我们只需要重写 sso-client 端的 `ticketResultHandle` 函数即可:
|
||
|
||
``` java
|
||
// 配置SSO相关参数
|
||
@Autowired
|
||
private void configSso(SaSsoClientConfig ssoClient) {
|
||
|
||
// 其它配置 ...
|
||
|
||
// 自定义校验 ticket 返回值的处理逻辑 (每次从认证中心获取校验 ticket 的结果后调用)
|
||
ssoClient.ticketResultHandle = (ctr, back) -> {
|
||
System.out.println("--------- 自定义 ticket 校验结果处理函数 ---------");
|
||
System.out.println("此账号在 sso-server 的 userId:" + ctr.loginId);
|
||
System.out.println("此账号在 sso-server 会话剩余有效期:" + ctr.remainSessionTimeout + " 秒");
|
||
|
||
// 模拟代码:
|
||
// 根据 center_id 字段找到此账号在本系统对应的 user 信息
|
||
long centerId = SaFoxUtil.getValueByType(ctr.loginId, long.class);
|
||
SysUser user = sysUserMapper.getByCenterId(centerId);
|
||
|
||
// 如果找不到,说明是首次登录本系统的新用户,需要自动注册一个新账号给他
|
||
if(user == null) {
|
||
// 涉及到数据库操作,此处仅做模拟
|
||
// 1、构建 user 信息
|
||
// 2、插入到数据库
|
||
// 3、查询出最新刚插入的这条 user 信息
|
||
user = sysUserMapper.getByCenterId(userId);
|
||
}
|
||
|
||
// 进行登录
|
||
// 注意此处需要使用 centerId 进行登录,否则该账号将无法正常完成单点注销功能
|
||
StpUtil.login(centerId, ctr.remainSessionTimeout);
|
||
StpUtil.getSession().set("user", user);
|
||
|
||
// 一切工作完毕,重定向回 back 页面
|
||
return SaHolder.getResponse().redirect(back);
|
||
};
|
||
|
||
}
|
||
```
|
||
|
||
至此完毕。
|
||
|
||
|
||
> [!INFO| label:提问:按照方案三,一个用户登录过程中,sso-server 和 sso-client 对这个用户账号的完整处理步骤是怎样的?]
|
||
> 1. 用户进入 sso-client 登录页面,点击上面的 [ 使用 xx 认证中心快捷登录 ] 按钮,浏览器跳转至 sso-server 认证中心。
|
||
> 2. 如果用户在 sso-server 有账号,则直接登录,如果没有,则注册账号并登录。
|
||
> 3. sso-server 重定向回 sso-client 端,并携带 ticket 参数。
|
||
> 4. sso-client 获取 ticket 参数,并解析出 center_id 值。
|
||
> 5. 根据 center_id 从 user 表查数据:
|
||
> - 5.1 查的到,证明有账号,直接登录。
|
||
> - 5.2 查不到,证明无账号,程序自动给他添加一条 user 账号,并登录。
|
||
> 6. 登录完成。
|