SSO单点登陆三种状况的实现方式详解(转载)

单点登陆（SSO——Single Sign On）对于咱们来讲已经不陌生了。对于大型系统来讲使用单点登陆能够减小用户不少的麻烦。就拿百度来讲吧，百度下面有不少的子系统——百度经验、百度知道、百度文库等等，若是咱们使用这些系统的时候，每个系统都须要咱们输入用户名和密码登陆一次的话，我相信用户体验确定会直线降低。固然，对于我的博客这类系统来讲根本就用不上单点登陆了。

假如，咱们的系统很庞大，可是就是这一个系统，并无什么子系统。这时咱们也不须要单点登陆。咱们须要的是搭建集群环境，这里虽然说只有一个系统，可是多台主机负载均衡的话就涉及到session共享的问题了。Session共享问题较之于SSO来讲将比较容易解决了。

好，咱们无论不须要单点登陆的系统了。题目中已经标明了SSO单点登陆的三种状况，下面咱们分别来介绍这三种状况。

在同一个域名下的不一样站点是如何进行验证的

咱们知道，PHP表单验证是彻底依赖于Cookie的。所以说，若是两个站点能够共享相同的验证Cookie，这将很容易实现使用同一个用户登陆多个站点。

按照HTTP协议规定，两个站点是能够共享Cookie的。前提是这两个站点是在同一个域名下面（或者是二级域名也可）。这种状况是属于同域下的Cookie。浏览器会将Cookie以及该Cookie所属的域存在本地。当你对该域下的任何子站点进行访问的时候，浏览器都会将这些Cookie发送给站点系统。

假设咱们有两个站点

www.onmpw.com/site1
www.onmpw.com/site2

这两个站点共享同一个主机地址，而且两者在同一域名下。加入你刚刚登陆了www.onmpw.com/site1，你的浏览器会有一个来自www.onmpw.com/site1的身份鉴证的cookie。当你点击site1下的任何的子页面的时候，这些cookie都会发送给site1。这是很容易理解的。一样的，当你请求www.onmpw.com/site2的时候，对于site2下面的任何页面这些cookie也一样会随着请求发送过去。为何是这样，由于在浏览器端存储的cookie的域是www.onmpw.com。site1和site2两个站点是同属于该域的。因此对于该域下的cookie，两个站点均可以获得。

这种状况，若是系统是PHP的话咱们根本不须要进行什么特殊的处理。只须要按照正常的验证方式进行验证便可。由于两者的sessionId是相同的，只要它们的session信息是保存在同一个地方便可。

同一个域可是不一样的子域如何进行单点登陆

假如咱们的站点是按照下面的域名进行部署的

sub1.onmpw.com
sub2.onmpw.com

这两个站点共享同一域onmpw.com。

默认状况下，浏览器会发送cookie所属的域对应的主机。也就是说，来自于sub1.onmpw.com的cookie默认所属的域是.sub1.onmpw.com。所以，sub2.onmpw.com不会获得任何的属于sub1.onmpw.com的cookie信息。由于它们是在不一样的主机上面，而且两者的子域也是不一样的。

这种状况，若是咱们使用PHP来实现的话，能够设置两者的cookie信息在同一个域下。

第一 登陆sub1.onmpw.com系统

第二 登陆成功之后，设置cookie信息。这里须要注意，咱们能够将用户名和密码存到cookie中，可是在设置的时候必须将这cookie的所属域设置为顶级域 .onmpw.com。这里可使用setcookie函数，该函数的第四个参数是用来设置cookie所述域的。

setcookie(‘username’,’onmpw’,null,’.onmpw.com’);
setcookie(‘password’,’pwd’,null,’.onmpw.com’);

第三 访问sub2.onmpw.com系统，浏览器会将cookie中的信息username和password附带在请求中一起发送到sub2.onmpw.com系统。这时该系统会先检查session是否登陆，若是没有登陆则验证cookie中的username和password从而实现自动登陆。

第四 sub2.onmpw.com 登陆成功之后再写session信息。之后的验证就用本身的session信息验证就能够了。

固然，先登陆sub2.onmpw.com的方式也是相同的。通过上面的步骤就能够实现不一样二级域名的单点登陆了。

可是，这里存在一个问题就是sub1系统退出之后，除了能够清除自身的session信息和所属域为.onmpw.com的cookie的信息。它并不能清除sub2系统的session信息。那sub2仍然是登陆状态。也就是说，这种方式虽然说能够实现单点登陆，可是不能实现同时退出。缘由是，sub1和sub2虽然说经过setcookie函数的设置能够共享cookie，可是两者的sessionId是不一样的，并且这个sessionId在浏览器中也是以cookie的形式存储的，不过它所属的域并非.onmpw.com。也就是说两者的sessionId是不一样的。

那如何解决这个问题呢？咱们知道，对于这种状况，只要是两个系统的sessionId相同就能够解决这个问题了。也就是说存放sessionId的cookie所属的域也是.onmpw.com。在PHP中，sessionId是在session_start()调用之后生成的。要想使sub1和sub2有共同的sessionId，那必须在session_start()以前设置sessionId所属域。有两种方式：

第一 使用php函数ini_set函数进行以下设置

ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.onmpw.com');
ini_set('session.cookie_lifetime', '0');

第二 直接修改php.ini 文件

session.cookie_path = /
session.cookie_domain = '.onmpw.com'
session.cookie_lifetime = 0

通过以上设置，sub1和sub2系统就会使用相同的session信息了。这样既能够实现单点登陆，也能够实现同时退出。

不一样域之间如何实现单点登陆

假设咱们须要在如下这些站之间实现单点登陆

www.onmpw1.com
www.onmpw2.com
www.onmpw3.com

对于这种状况，咱们有两种实现方式，其中咱们先来介绍实现比较简单的方式。

方式一

为了实现单点登陆，当用户登陆其中的任何一个站点时，咱们须要针对其余每一个站点在浏览器端设置cookie信息。

若是用户在onmpw1站点进行登陆，登陆成功受权之后，浏览器将会存储一份儿onmpw1站点的cookie信息。同时，为了能够登陆onmpw2和onmpw3，咱们须要在设置onmpw1的cookie的同事也对onmpw2和onmpw3进行cookie设置。所以在对onmpw1进行响应以前，咱们须要先跳转到onmpw2和onmpw3站点去设置cookie信息。

下图是对于两个站点的单点登陆模型（三个的图画起来比较麻烦，为了节省时间，就用两个来表示，可是原理是相同的）

此种状况的验证步骤是这样的：

1、用户向www.onmpw1.com（如下简称onmpw1）请求一个须要验证的页面。

[状态: 浏览器尚未验证的cookie信息]

2、浏览器向onmpw1发送请求（该请求没有cookie信息，由于它尚未存储所属域为onmpw1.com的cookie信息）。

[状态: 浏览器尚未验证的cookie信息]

3、onmpw1发如今请求中没有带cookie信息，因此它将请求重定向到登陆页面

[状态: 浏览器尚未验证的cookie信息]

4、用户提交了登陆所需验证的信息而且点击登陆按钮，浏览器发送一个post请求到onmpw1。

[状态: 浏览器尚未验证的cookie信息]

5、onmpw1收到提交的验证信息，开始验证这些信息。若是验证成功，则标记该用户已经登陆。而后会建立带有登陆用户信息的cookie，并将其加入响应信息中。

[状态: 浏览器尚未验证的cookie信息]

6、onmpw1暂时还不去响应浏览器的请求。这时它将会向浏览器发送重定向到www.onmpw2.com（如下简称onmpw2）的命令，而且还带有在onmpw2站点须要返回的url地址，该地址为最初onmpw1中的。由于cookie信息已经在响应信息中，因此这个cookie也被发送给浏览器了。

[状态: 浏览器尚未验证的cookie信息]

7、浏览器接收道带有验证的cookie信息和重定向到onmpw2的命令的响应信息之后，将cookie信息的域设置为onmpw2存储到本地，而且想onmpw2发送请求。这个请求中会带有刚才的cookie信息。

[状态：浏览器中已经有所属域为onmpw2的cookie信息]

8、onmpw2马上会重定向到须要返回的url地址，而且经过读取浏览器发送的cookie信息，获取到onmpw1的cookie。并将这cookie也一同发送给浏览器。

[状态：浏览器中已经有所属域为onmpw2的cookie信息]

9、浏览器在接受到这些信息之后，会将所属域为onmpw1的cookie存储在本地。而且再次向onmpw1发送一个带有cookie信息的请求。

[状态：浏览器中已经有所属域为onmpw2和onmpw1的cookie信息]

10、onmpw1接收到验证信息之后，知道验证cookie已经设置成功。此时onmpw1会返回相应的请求界面，而再也不是登陆界面。

[状态：浏览器中已经有所属域为onmpw2和onmpw1的cookie信息]

因此说，当用户再次访问onmpw2的时候，cookie信息已经存储到浏览器中了。这时onmpw2会在cookie中读取到登陆的用户的信息，而后提供相应的界面给浏览器。

这样，单点登陆就已经设置成功了。在本例中，按照上述步骤，登陆onmpw1之后，onmpw2和onmpw3就能够同时实现登陆了。

如何退出登陆

既然咱们已经实现了单点登陆，可是咱们还得考虑退出的问题。既然是同时登陆的，那总不能在退出的时候一个一个的退出吧！因此说咱们还要设置单点退出。

要想实现单点退出，在本例中，咱们须要作的是当在一个站点退出的时候，其余两个站点的cookie一样也须要在浏览器中清除。这样才能够实现单点退出。

这样其实也很简单，在理解了上述单点登陆的流程之后，单点退出只是按照上面的步骤将设置验证cookie改为从响应信息中移除cookie就能够实现了。

对于这种状况，不论是单点登陆也好，仍是单点退出。都存在一个问题，在本例中咱们只是有三个站点。若是说咱们整个系统有10个20个或者更多站点，那像咱们这样来回的重定向会很影响效率。

方式二

接下来咱们来介绍另外一种方式。这种方式须要咱们借助一个单独的SSO服务，专门作验证用。并且咱们还须要对于不一样的站点的用户要有一个统一的用户数据。相对于前一种方式——浏览器须要存储每一个站点的cookie——来讲，这种方式浏览器只须要存储SSO服务站点的cookie信息。将这个cookie信息用于其余站点从而实现单点登陆。咱们暂且将这个SSO服务站点成为www.SSOsite.com（如下简称SSOsite）。

在这种模型下，针对任何站点的请求都将会先重定向到SSOsite去验证一个身份验证cookie是否存在。若是存在，则验证过的页面将会发送给浏览器。不然用户将会被重定向到登陆页面。

为了理解此种方式，如今假设咱们来运用这种模型实现如下两个站点的单点登陆。

www.onmpw1.com（如下简称onmpw1）
www.onmpw2.com（如下简称onmpw2）

而且咱们还有一个专门用来进行验证的服务站点www.SSOsite.com（如下简称SSOsite） 。

第一部分

实现流程

·用户请求onmpw1的一个须要验证的页面

·onmpw1向浏览器发送重定向到SSOsite的命令。而且在地址中添加一个返回地址（ReturnUrl）参数query string，该参数的值就是最初向onmpw1请求的地址。

·SSOsite会在请求中检查是否有身份验证cookie，或者任何用户token。没有这些信息，则会再次重定向到onmpw1，在重定向到onmpw1中的请求中会带有参数让用户登陆的url参数和最初的浏览器请求onmpw1的地址——ReturnUrl。

·onmpw1会检测从SSOsite重定向来的请求的参数。这时onmpw1了解到该用户须要登陆，所以onmpw1会重定向到登陆界面，而且通知浏览器该请求不用再重定向到SSOsite。

第二部分

·用户提供了身份验证信息而且点击了登陆按钮。如今不会再去重定向到SSOsite。这时，onmpw1调用SSOsite 中的web/WCF服务去检查用户提供的身份验证信息。成功验证，会将带有token属性的用户对象返回给onmpw1。而这个token是每一次用户登陆都会生成的。

·onmpw1标记用户已经登陆成功，而后会生成一个URL地址，该地址会带有用户token，重定向到SSOsite。

·SSOsite检查收到的URL地址，会在其中发现用户token。经过该token能够知道用户已经成功登陆onmpw1了，因此SSOsite须要准备验证的cookie信息。所以，它会使用token在缓存中取出用户信息来生成cookie信息，并且还会在cookie中设置一些其余的信息（例如过时时间等）。而后把cookie加入到响应信息中。最后重定向到最初的ReturnUrl地址。同时token仍是要被加在query string中带过去的。

·浏览器获得重定向到onmpw1的命令，而且从SSOsite中获得cookie信息。所以浏览器将所属域为SSOsite的cookie保存在本地。而后带着token去请求onmpw1。

·如今onmpw1看到用户token在query string 参数中，而后会再次经过web/WCF服务去在SSOsite上验证token。验证成功之后会将最初刚开始请求的页面发送给浏览器用于向用户输出。

第三部分

·用户如今去请求onmpw2。

·onmpw2重定向到SSOsite，一样设置ReturnUrl为刚开始请求的onmpw2的页面地址。

·浏览器接收到重定向的命令之后，由于本地存在SSOsite的cookie，因此会cookie加到请求中发送给SSOsite。

·SSOsite检查接收到的请求中发现有cookie信息，首先会检查该cookie信息是否过时，若是没有过时，将会从cookie中提取出用户token。而后带着token重定向到最初的onmpw2中的地址。

·onmpw2发现请求中有用户token，而后他会经过SSOsite的web/WCF服务验证token的合法性。验证成功之后，将最初浏览器请求onmpw2的页面发送给浏览器用以向用户输出。

总结

哇哦，看起来有不少东西须要作。其实并无那么复杂。

起初，浏览器没有所属域为SSOsite的cookie信息。所以不管是点击任何站点的须要验证的界面都会跳转到登陆页（这个过程是由程序内部重定向到SSOsite来检查是否存在cookie的）。一旦用户登陆成功，所属域为SSOsite的，而且带有登陆用户信息的cookie会被浏览器存储在本地。

而后，当用户再次访问须要验证的页面的时候，一样请求会在被重定向到SSOsite，而且浏览器会带上先前已经保存的cookie信息。SSOsite检索cookie，从中提取出用户token，并带着这个token重定向到最初请求的站点页面。而后该站点会经过web/WCF服务去验证token的合法性。而后将相应的页面发送给客户端。

一旦用户经过该单点登陆模型登陆到站点上，请求任何须要验证的页面都会内部重定向到SSOsite验证cookie和提取用户token，而后将请求的页面发送给浏览器输出。