如何实现单点登录？

一、什么是单点登录

单点登录的英文名叫做：Single Sign On（简称SSO），指在同一帐号平台下的多个应用系统中，用户只需登录一次，即可访问所有相互信任的系统。简而言之，多个系统，统一登陆。

为什么需要做单点登录系统呢？在一些互联网公司中，公司旗下可能会有多个子系统，每个登陆实现统一管理，多个账户信息统一管理 SSO单点登陆认证授权系统。比如阿里系的淘宝和天猫，显而易见这是两个系统，但是在使用过程中，只要你登录了淘宝，同时也意味着登录了天猫，如果每个子系统都需要登录认证，用户早就疯了，所以我们要解决的问题就是，用户只需要登录一次就可以访问所有相互信任的应用系统。

二、单点登录原理

sso需要一个独立的认证中心，所有子系统都通过认证中心的登录入口进行登录，登录时带上自己的地址，子系统只接受认证中心的授权，授权通过令牌（token）实现，sso认证中心验证用户的用户名密码正确，创建全局会话和token，token作为参数发送给各个子系统，子系统拿到token，即得到了授权，可以借此创建局部会话，局部会话登录方式与单系统的登录方式相同。

三、单点登录实现方式

1、基于cookie（主域名相同）

2、SSO（主域名不同，cookie无法共享时）

下面对上图简要描述

1、用户访问系统1的受保护资源，系统1发现用户未登录，跳转至sso认证中心，并将自己的地址作为参数
2、sso认证中心发现用户未登录，将用户引导至登录页面
3、用户输入用户名密码提交登录申请
4、sso认证中心校验用户信息，创建用户与sso认证中心之间的会话，称为全局会话，同时创建授权令牌
5、sso认证中心带着令牌跳转会最初的请求地址（系统1）
6、系统1拿到令牌，去sso认证中心校验令牌是否有效
7、sso认证中心校验令牌，返回有效，注册系统1
8、系统1使用该令牌创建与用户的会话，称为局部会话，返回受保护资源
9、用户访问系统2的受保护资源
10、系统2发现用户未登录，跳转至sso认证中心，并将自己的地址作为参数
11、sso认证中心发现用户已登录，跳转回系统2的地址，并附上令牌
12、系统2拿到令牌，去sso认证中心校验令牌是否有效
13、sso认证中心校验令牌，返回有效，注册系统2
14、系统2使用该令牌创建与用户的局部会话，返回受保护资源

用户登录成功之后，会与sso认证中心及各个子系统建立会话，用户与sso认证中心建立的会话称为全局会话，用户与各个子系统建立的会话称为局部会话，局部会话建立之后，用户访问子系统受保护资源将不再通过sso认证中心，全局会话与局部会话有如下约束关系：

• 局部会话存在，全局会话一定存在
• 全局会话存在，局部会话不一定存在
• 全局会话销毁，局部会话必须销毁

session ➕ cookie模式实现单点登录：

优点：服务器有超强控制能力，很容易控制用户在线状态
缺点：耗钱，一般小企业用户量一大烧不起啊

token模式： JWT

认证中心登录，返回token，子系统可以自行验证token
优点：认证中心压力减少，子系统扩容也影响不大
缺点：不容易控制用户状态

token ➕ refreshtoken模式：


优点： 子系统容易扩容，可以控制用户状态（因为会刷新token）

3、oAuth2.0

总结