单点登录介绍

　　1. 概念

　　单点登录SSO，说的是在一个多系统共存的环境下，用户在一处登录后，就不用在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任。

　　2. 单点登录的要点

　　存储信任;

　　验证信任;

　　3. 实现单点登录的三种方式

　　3.1 以cookie作为凭证

　　最简单的单点登录实现方式，是使用cookie作为媒介，存放用户凭证。

　　用户登录父应用之后，应用返回一个加密的cookie，当用户访问子应用的时候，携带上这个cookie，授权应用解密cookie进行校验，校验通过则登录当前用户。

　　缺点：

　　cookie不安全;

　　通过加密可以保证安全性，但如果对方掌握了解密算法就完蛋了;

　　不能跨域实现免登。

　　3.2 通过JSONP实现

　　对于跨域问题，可以使用JSONP实现。用户在父应用中登录后，跟session匹配的cookie会存到客户端中，当用户需要登录子应用的时候，授权应用访问父应用提供的JSONP接口，并在请求中带上父应用域名下的cookie，父应用接收到请求，验证用户的登录状态，返回加密的信息，子应用通过解析返回来的加密信息来验证用户，如果通过验证则登录用户。

　　缺点：

　　这种方法虽然能解决跨域问题，但是治标不治本，没有解决cookie安全性的问题。

　　3.3 通过页面重定向的方式

　　最后一种介绍的方式，是通过父应用和子应用来回重定向进行通信，实现信息的安全传递。

　　父应用提供一个GET方式的登录接口A(此时的父应用接口固定，攻击者无法去伪造)，用户通过子应用重定向连接的方式访问这个接口，如果用户还没有登录，则返回一个登录页面，用户输入账号密码进行登录，如果用户已经登录了，则生成加密的token，并且重定向到子应用提供的验证token的接口B(此时的子应用接口固定，攻击者无法去伪造)，通过解密和校验之后，子应用登录当前用户。

　　缺点：

　　这种方式较前面的两种方式，是解决了安全性和跨域的问题，但是并没有前面两种方式简单，安全与方便，本来就是矛盾的。

　　4. 使用独立登录系统

　　一般来说，大型应用会把授权的逻辑和用户信息的相关逻辑独立成一个应用，称为用户中心。用户中心不处理业务逻辑，只是处理用户信息的管理以及授权给第三方应用。第三方应用需要登录的时候，则把用户的登录请求转发给用户中心进行处理，用户处理完毕后返回凭证，第三方应用验证凭证，通过后就登录用户。