单点登录

什么是单点登录？

单点登录（Single Sign On）说的简单点就是在一个多系统共存的环境下，用户在一处登录后，就不用在其它系统中登录。也就是用户的一次登录能得到其它所有系统的信任。

1.以Cookie作为凭证媒介

这是最简单的单点登录实现方式，是使用cookie作为媒介，存放用户凭证。用户登录父应用之后，应用返回一个加密的cookie。当用户访问子应用的时候，携带上这个cookie,授权应用解密cookie并进行校验，检验通过则登录当前应用。

这个方案相应会存在一些问题：

• cookie不安全
• 不能跨域实现免登陆

2.通过JSONP实现

这个方案的出现场景，利用了它的好处，解决跨域问题。但是也有它独特的点（可利用的场景问题）

用户在父应用中登录后，跟Session匹配的Cookie会存到客户端中，当用户需要登录子应用的时候，授权应用访问父应用提供的JSONP接口，并且在请求中带上父应用域名下的Cookie,父应用接收请求，验证用户登录状态，返回加密信息，子应用通过解析返回来的加密信息来验证用户，如果通过验证则登录用户。

缺点和局限性：

这种方式虽然能解决跨域问题，但是安全性其实跟把信任存储到Cookie是差不多的，如果一旦加密算法泄漏了，攻击者可以再本地建立一个实现了登录接口的假冒父应用，通过绑定Host来把子应用发起的请求指向本地的假冒父应用，并作出回应，因为攻击者完全可以按照加密算法来伪造响应请求，子应用接收到这个响应之后一样可以通过验证，并且登录特定用户。

3.通过页面重定向的方式

通过父应用和子应用来回重定向中通信，实现信息的安全传递。

父应用提供一个GET方式的登录接口，用户通过子应用重定向连接的方式访问这个接口，如果用户还没登录，则返回一个登录页面，用户输入账号密码进行登录。如果用户已经登录了，则生成加密的Token,并且重定向到子应用提供的验证Token的接口，通过解密和校验之后，子应用登录当前用户。

 

 

这种方式较前面两种方式，接解决了上面两种方法暴露出来的安全性问题和跨域的问题，但是并没有前面两种方式方便。 安全与方便，本来就是一对矛盾。