单点登录常用有3种方式:
1. 主域名共享cookie
适用于同域名系统的单点登录。所有的子系统域名共享一个主域名的cookie,这样就可以实现登录一个系统,所有系统登录。
例如,a1.test.com, a2.test.com, 登录其中一个系统,设置.test.com的cookie,就可以实现其他系统也登录。
缺点:
1. 主域名要一致
2. 如果cookie承载session,则要求所有子系统web容器一致,比如都要使用nginx,不能一个nginx,一个tomcat。
2. sso站点认证授权
所有站点的认证,统一到一个sso站点进行,认证成功后,带着token返回来源站点。来源站点,使用token,去sso站点验证,验证成功,则授权登录。
例如:
认证站点: sso.com
系统站点: a.com
系统站点: b.com
用户访问a.com,若未登录,则跳转到sso.com,并带上a.com这个来源地址,则给出登录界面,登录成功后,生成一个授权token,保存在sso.com的cookie中,
通过a.com?token=token返回a.com, a.com拿到token,请求sso.com验证是否有效,有效则授权登录。
用户访问b.com,同样过程,若a.com已登录,即有未过期的token,则直接b.com?token=token返回,b.com同样验证token有效,则授权登录。
这样就达到登录一个,其他的也登录的效果。
3. sso登录写第三方cookie
在一个站点登录成功后,向一个sso地址或目标站点本身发送jsonp请求,验证成功后,重定向到目标站点,携带参数登录成功后,设置目标站点的cookie。
重复此过程,是的所有需要登录的站点的cookie都设置完成,多个系统的单点登录就完成了。
登出过程,一个系统登出成功后,以jsonp请求所有需要登出的系统的登出接口,清理cookie即可。
详细过程可以参考, 阿里(淘宝、天猫、一淘)、京东SSO分析