关键词：SSO Single Sign On 单点登录

Single sign-on (SSO) is a property of access control of multiple related, yet independent, software systems. With this property, a user logs in with a single ID and password to gain access to a connected system or systems without using different usernames or passwords, or in some configurations seamlessly sign on at each system.

首先我们来看一下wikipedia对SSO的定义，大概意思如下：

SSO单点登录是一种多个相关但独立的软件系统的访问控制属性。使用这种属性，用户使用一个ID和passsord登录，就可以获得连接系统或者无需不同用户名密码的系统的访问权限，或者在配置上和每一个系统无缝连接。

说到这里，我们知道，SSO就是为了多系统连接而产生的结果，使得用户体验更高，有点类似现阶段所提倡的生态系统（eco system），将多个关联的系统连接到一起。下面我们分几种情况来解释SSO：

一、共同父域parent domain的不同site之间的SSO

IMG_0287.JPG

现场画出了一个SSO请求原理图

1. 用户打开浏览器browser，也就是client端，访问站点Site A：a.baidu.com，收到打开还未有登录信息，直接转向登录页面

2. 输入username/password，登录并向Auth Service 发送认证并将登录信息记录下来

3. Auth Service记录登录信息之后，将带有已登录信息的cookie信息响应给client端并写入站点为.baidu.com的cookie里边，例如：auth_id=asldfj2930404u02

4. 这个时候当client端需要访问需要username/password的站点Site B：b.baidu.com，这个时候由于Site A和Site B同属于域.baidu.com，所以两个站点之前是共享父域.baidu.com的cookie，所以这个时候向Site B发送请求的同时，根据我们之前文章里边《关于cookie的一些理解和思考》讲到的，Cookie会跟随此次request请求发送到Site B服务器端

5. 到达Site B服务器端之后，会将接收到的cookie当做ticket向Auth Service发送授权请求，验证是否已经登录过，防止cookie伪造

6. Auth Service 会实现相应的逻辑根据收到的ticket去查找对应用户是否已经登录，如果登录，则返回200或username表示验证通过，无需登录，可以直接访问；否则跳转到登录页面

提示：
a. 如上图右上角为Browser（客户端），右下角为我们的目标站点
b. 左上角为我们的portal server，也就是我们面向客户需要登录的站点，左下角是我们的授权服务，我们称它为SSO service，实际上我们可以把左边两个模块合并在一起，但是为了解耦，这里建议将各个角色分开，有利于后续做跨域SSO

二、相同域domain下的SSO

和第一种不同的是，第二种的站点属于同一个域，比如www.baidu.com/a和www.baidu.com/b 这个时候我们也可以使用上图的工作原理，只不过左上角和右下角两个站点属于同一个application
另一个不同点是，当Auth Service 响应给站点a的同时写入的cookie就没有必要写到.baidu.com下面了，只需要写到www.baidu.com下面即可，这样不管你访问www.baidu.com/a还是www.baidu.com/b都可以访问登录信息cookie

这一节讲到这里，下一次分享将会细讲完全跨域的SSO实现方式。

作者：eason02
链接：https://www.jianshu.com/p/0ac11c48567d