单点登录--

单点登录（SSO）

●首先介绍下什么是单点登录吧：比如在多个应用系统中，只需要登录一次就可以访问其他相互信任的应用系统（比如只要登录了QQ，那么腾讯视频、腾讯游戏、王者荣耀都可以不用再进行认证了）

●上图的四个系统中，其中三个Application没有登录模块，而SSO只有登录模块没有业务模块，当三个application需要登录认证的时候，将跳到SSO系统，SSO系统完成登录，那么其他的应用系统也就随之登录了，这就是单点登录的含义。那么下面我们来看看是如何一步步发展到如今的水平的。

●普通登录认证机制：在浏览器中访问一个应用，这个应用需要登录，我们填写完用户名和密码后，完成认证登录。这时我们在这个用户的session中标记登录状态为yes（已登录），同时在浏览器中写入Cookie，这个Cookie是这个用户的唯一标识。下次再访问这个应用的时候，请求上会带上这个cookie，而服务端会根据这个cookie找到对应的session，通过session来判断这个用户是否登录。如果不做特殊配置，这个cookie的名字为sessionId，值在服务端是唯一的。而普通登录的问题就在于每个server都有自己的session，而且记录ID的cookie又不能跨域。如果让各个server公用一个session，让客户端在各个域名下都能持有这个ID就实现了SSO。

●同域下的单点登录：一个企业往往只有一个域名，通过二级域名区分不同的系统，比如我们有一个与名叫a.com，同时有两个业务系统分别为app1.a.com和app2.a.com。我们要做单点登录，需要一个登录系统叫sso.a.com。我们只要在sso.a.com登录，那么app1.a.com和app2.a.com就也登录了。通过普通的登录认证机制可以知道，在sso.a.com中登录了其实就是在sso.a.com下写入了cookie。接下来就是让app1.a.com和app2.a.com登录，以下为两个问题及相应的解决方案。

​ ■Cookie不能跨域：我们cookie的domain属性为sso.a.com，在给app1.a.com和app2.a.com发送请求的时候是不会带上这个cookie的。解决办法是SSO登录以后，可以手动将cookie的域设置为顶域a.com，这样所有子域内的系统都可以访问到顶域的cookie。注：我们在设置cookie时，只能设置顶域和自己的域，不能设置其他的域，比如不能在自己的系统中给baidu.com的域名设置cookie。

​ ■sso、app1、app2是不同的应用，他们的session存在自己的应用内，是不共享的。我们在sso系统登录后，这时再访问app1，cookie通过上述方法已经带到了app1的服务端，那么服务端怎么找到这个cookie对应的session呢？如上图所示，把三个session共享即可。

●不同域下的单点登录：不同域下session的问题还是可以通过共享解决，主要就是cookie不能通过顶级域名解决了

​ ■主要是通过CAS（central authentication servcice）中央认证服务，具体流程如下：

​ ▼用户访问app系统，app系统需要登录，但用户没有登录

​ ▼跳转到CAS server，即SSO登录系统，SSO系统也没有登录，弹出用户登录页面。

​ ▼用户填写用户名，密码，sso系统进行认证后，将登录状态写入sso的session，浏览器中写入sso域下的cookie。

​ ▼sso系统完成登录后会生成一个ST（service Ticket），然后跳转到app系统，同时将ST作为参数传递给app系统。

​ ▼app系统拿到ST后，从后台向SSO发起请求，验证ST是否有效。

​ ▼验证通过后，app系统将登录状态写入session并设置app域下的cookie

​ ▼此时如果用户访问app2系统，app2系统没有登录，跳转到sso

​ ▼SSO已经登录了，不需要再认证，直接生成ST，并跳回app2系统，ST作为参数传给app2系统

​ ▼app2拿到ST，浏览器将登录状态写入session，并在app2浏览器写入cookie

●为什么sso系统登录后，还要跳回原业务系统，通过ST重新认证？直接SSO登录验证后直接返回原业务系统，直接写入session不可以么？：如果在SSO没有登录，而是直接在浏览器敲入回调的地址，并带上伪造的用户信息，业务系统也会认为是登录了。