sso单点登录解决方案

单点登录

概念

单点登录的概念，通俗来讲就是，用户只需登录一次，就可以在相关联的各个系统间畅行无阻。产生的技术背景主要是针对有多个子系统的大公司，可想而知，绝不可能要求用户每进入一个子系统就重新登录一次。

解决方案

针对不同的应用场景，有不同的解决方案。大致有如下两种:

子系统不涉及跨域

有个公司A，它有个顶级域名www.a.com,同时它有多个子系统部署在a.a.com,b.a.com等等，这种情况下，sso的解决方案使用cookie来支撑完全没有问题，因为设置cookie时我们完全可以将会话信息存储到顶级域下（也就是a.com）,子域验证时是可以直接获取顶级域的会话信息的。

子系统涉及跨域

情况复杂了，公司A有个顶级域名www.a.com,同时多个子系统部署到了www.b.com，www.c.com等等，此时cookie因为不能跨域访问的问题，已经满足不了我们的需求了。
此时，考虑部署单独的授权应用服务。

用户登录子系统A，A应用发现用户未登录，此时跳转至SSO授权服务，SSO授权服务发现用户未登录则让用户登录，保存用户登录状态至SSO域下，同时生成一个关联该状态的token，携带token跳转回A应用，此时A应用发现用户虽然没有登录但携带token，则拿token去SSO查询是否合法，合法，则A应用登录成功，保存用户登录状态至A应用的域下；
此时，用户访问B应用，B发现用户未登录，跳转至SSO，SSO发现用户持有SSO域下的登录状态，则判断用户已登录，此时生成token跳转至B应用，B检测token，保存登录状态至B域下…………

中心思想就是，有个中心服务，所以登录验证等业务的处理都必须通过此服务中转。

关于注销账户

注销账户的处理方式依据各自的需要，有些公司需要注销一次，所有的自动注销，而有些公司只需注销一次，不影响其它应用。
关于注销一次，所有应用自动注销的方案，参照单独的授权应用服务的处理逻辑，只是 每一个子应用第一次跳转SSO登录时，我们需要注册该子应用(维持一个键值对，对应子应用的URL)，注销时将该子应用删除即可）。

请关注我的订阅号