单点登录
概念
单点登录的概念,通俗来讲就是,用户只需登录一次,就可以在相关联的各个系统间畅行无阻。产生的技术背景主要是针对有多个子系统的大公司,可想而知,绝不可能要求用户每进入一个子系统就重新登录一次。
解决方案
针对不同的应用场景,有不同的解决方案。大致有如下两种:
子系统不涉及跨域
有个公司A,它有个顶级域名www.a.com,同时它有多个子系统部署在a.a.com,b.a.com等等,这种情况下,sso的解决方案使用cookie来支撑完全没有问题,因为设置cookie时我们完全可以将会话信息存储到顶级域下(也就是a.com),子域验证时是可以直接获取顶级域的会话信息的。
子系统涉及跨域
情况复杂了,公司A有个顶级域名www.a.com,同时多个子系统部署到了www.b.com,www.c.com等等,此时cookie因为不能跨域访问的问题,已经满足不了我们的需求了。
此时,考虑部署单独的授权应用服务。
用户登录子系统A,A应用发现用户未登录,此时跳转至SSO授权服务,SSO授权服务发现用户未登录则让用户登录,保存用户登录状态至SSO域下,同时生成一个关联该状态的token,携带token跳转回A应用,此时A应用发现用户虽然没有登录但携带token,则拿token去SSO查询是否合法,合法,则A应用登录成功,保存用户登录状态至A应用的域下;
此时,用户访问B应用,B发现用户未登录,跳转至SSO,SSO发现用户持有SSO域下的登录状态,则判断用户已登录,此时生成token跳转至B应用,B检测token,保存登录状态至B域下…………
中心思想就是,有个中心服务,所以登录验证等业务的处理都必须通过此服务中转。
关于注销账户
注销账户的处理方式依据各自的需要,有些公司需要注销一次,所有的自动注销,而有些公司只需注销一次,不影响其它应用。
关于注销一次,所有应用自动注销的方案,参照单独的授权应用服务的处理逻辑,只是 每一个子应用第一次跳转SSO登录时,我们需要注册该子应用(维持一个键值对,对应子应用的URL),注销时将该子应用删除即可)。