基于Cookie的SSO登录分析和实现

什么是SSO？

现在很多大的互联网公司都会有很多的应用，比如以下是淘宝网的截图：

Paste_Image.png

天猫 聚划算 头条等都是不同的应用，有的甚至采用完全不同的域名，但是所有在淘宝注册的用户都是使用的一套用户名和口令，如果在这些系统直接切换做不到登陆状态的同步，体验是非常差的。再举个栗子，很多公司内部系统也有很多个，比如HR系统，财务系统，考勤系统等等，如果员工在一个系统登陆了，跳转到另外一个系统还需要登陆，就会让人很不爽...

基于此，SSO(Single Sign On)应运而生。当然，我们来现实这个需求的方法有很多种，使用Cookie是其中比较简单的方式，主要需要解决的问题是:Cookie是不能跨域传递的，如何将一个域的Cookie通知给其它应用(不在同一个域)？

so，如果你对cookie机制不太熟悉，请先google，并大致了解为什么cookie会设计成不能跨域等相关问题。

如何实现？

前面已经说了，如何通过Cookie来实现SSO，主要是如何解决跨域问题。首先来谈谈Set-Cookie中的domain属性。

Cookie domain

为了让Http协议在一定程度上保持上下文，server在响应的头部可以加入Set-Cookie来写入一些数据到客户端，Set-Cookie中的domain字段用来表示这个cookie所在的域。
栗子：
我们访问www.cookieexm.com，如果server在返回头部中加入了Set-Cookie,如果不指定domain,那么默认这个cookie的域就是www.cookieexm.com，也就是只有访问www.cookieexm.com时客户端才会把这个cookie返给服务端。
如果我们指定domain为.cookieexm.com，那么客户端在访问以下域名：www.cookieexm.com www1.cookieexm.com a.cookieexm.com ***.cookieexm.com 时都能够把cookie返回。
所以，我们得出一条结论：客户端对cookie的domain的匹配是从结尾进行匹配的，有了这个基础，我们就可以实现我们的SSO登陆了。

具体方案

假设我们需要在如下子系统 **.a1.a2 **.b1.b2 **.c1.c2间实现单点登录，首先我们需要一个专门用于单点登陆的认证系统(sso.s1.s2)。假设目前系统处于未登录状态，访问www.a1.a2为例：

Paste_Image.png

分别看一下每个步骤作用：

1. 请求www.a1.a2
2. www.a1.a2收到请求，检查是否携带登录的cookie，目前没有登陆过，那么重定向到sso认证中心
3. SSO提供登陆窗口，用户输入用户名 口令。SSO系统验证用户名和口令
4. 这一步是关键，如果登录成功，首先把SSO系统的Cookie放到客户端；同时，将用户的认证信息传递通过重定向传递给业务方，注意，这个传递明显不能通过cookie来传递（不同域嘛），一般是通过加密的querystring。
5. 业务方的验证系统收到sso认证信息，再进行认证
6. 业务方认证通过之后，把认证结果的cookie写入到.a1.a2，至此，SSO认证完成
7. 重定向到业务系统www.a1.a2,由前面的结论可知，此时所有以.a1.a2结尾的业务系统都可以使用这个认证之后的cookie
8. response

说明:
业务认证系统不一定存在，有些不是太敏感的系统可以直接从SSO Authorization重定向到业务系统，并把SSO的认证信息带过去。

承接上文，此时，如果用户访问www.b1.b2应用，如下图所示：

Paste_Image.png

与访问www.a1.a2不同的是我们在重定向到SSO Authorization时已经不需要再去输入用户名，因为sso.s1.s2此时已经存有cookie，直接用cookie验证。
以上，就是一个简单的基于Cookie的登陆系统。