单点登陆实现方案

单点登录实现方案设计

总体流程：

设计思路：

单点登陆涉及 sso 认证中心与众子系统，子系统与 sso 认证中心须要通讯以交换令牌、校验令牌及发起注销请求，于是子系统必须集成 sso 的客户端，sso 认证中心则是 sso 服务端，整个单点登陆过程实质是 sso 客户端与服务端通讯的过程，可用下部署图描述：

sso 认证中心与 sso 客户端通讯方式有多种，HttpClient，WebService、rpc、restful
api 均可以，考虑各系统采用B/S架构，这里咱们应用广泛的httpClient便可。

实现原理：

SSO Client

• 拦截子系统未登陆用户请求，跳转至 sso 认证中心

• 接收并存储 sso 认证中心发送的令牌

• 与 SSO Server 通讯，校验令牌的有效性

• 创建局部会话

• 拦截用户注销请求，向 sso 认证中心发送注销请求

• 接收 sso 认证中心发出的注销请求，销毁局部会话

SSO Server

• 验证用户的登陆信息

• 建立全局会话

• 建立受权令牌

• 与 SSO Client 通讯发送令牌

• 校验 SSO Client 令牌有效性

• 系统注册

• 接收 SSO Client 注销请求，注销全部会话

实现方案：

主系统(认证中心)：

• 主系统集成认证中心服务sso server，由主系统确认用户的登陆操做。

子系统：

• 子系统可经过集成sso
  client服务(可经过http请求方式)肯定用户是否登陆以及用户对应的响应角色信息，用户登陆后经过主系统重定向到各个子系统服务。

无状态交互：

• 无状态的注册，授权等操做可直接由主系统经过httpclient方式直接向自服务发送请求，具体参见文档：针对第三方系统登陆方案设计说明文档.doc。