單點登錄
單點登錄(SSO - Single Sign On):對於同一個客戶端(例如 Chrome 瀏覽器),只要登錄了一個子站(例如 a.com),則所有子站(b.com、c.com)都認爲已經登錄。
比如用戶在登錄淘寶後,跳轉到天貓時就已經登錄了。
用例步驟
未登錄用戶訪問子站 a.com 進行登錄,自動跳轉到賬戶中心的統一登錄頁
account.com/login
用戶在統一登錄頁進行登錄,登錄成功後顯示登錄跳轉頁
顯示登錄跳轉頁後自動跳轉回 a.com,單點登錄完成
用戶在訪問 b.com 時無需再次登錄
實現原理
登錄
統一登錄頁登錄請求完成後響應爲登錄跳轉頁
登錄跳轉頁中通知各子站進行登錄
<script src='b.com/login?uid=xxxx&token=xxxxx'></script> <script src='c.com/login?uid=xxxx&token=xxxxx'></script
3. 子站收到登錄請求後驗證 token 是否有效,有效的話在響應中設置 cookie(user_token=xxxx)
token 驗證
賬戶中心使用私鑰加密 user id,生成 token
子站使用公鑰解密 token,將得到的 user id 和參數 uid 對比,如果一樣就是校驗通過
登出
用戶在某個子站主動登出時跳轉到賬戶中心統一登出頁
account.com/logout?uid=xxxx&token=xxxx
賬戶中心驗證 token 後進行登出,在登出跳轉頁中通知各子站進行登出(設置 cookie),類似登錄通知
子站收到登出請求後驗證 token 是否有效,有效的話在響應中設置 cookie(刪除 user_token)
關鍵點
瀏覽器渲染登錄跳轉頁時將執行上面用
<script>
發送的登錄通知請求,執行完後(或者超時)才跳轉回前面登錄的子站登錄通知請求是跨域的(當前域是賬戶中心 account.com),所以在響應中設置 cookie 時 IE 某些版本需要設置 P3P 頭
在驗證 token 時可以考慮使用賬戶中心提供高性能的驗證接口,子站進行調用