假設即瀏覽器爲A,服務1記爲S1,服務2記爲S2,SSo認證中心記爲C
1.當A已經成功登錄S1,爲什麼A再登錄S2時仍需要重定向到C而不是直接去C驗證ticket是否有效?
ticket只能用一次,當服務1第一次認證成功之後就會生成一個會話id,維護該用戶的登錄狀態,這個ticket就無效了
2.爲什麼不能用一個ticket去驗證?
cookie有跨域的問題,ticket只能用一次,訪問到就會失效,下次就是服務維護了一個session來判斷。TGT是用於生成一個新的ST,而ST是提供給客戶端用於驗證後登錄的Ticket,ST則必須是是根據TGT來生成,主要用於登錄,並且當登錄成功之後 ST 則會失效。
3.。當B訪問一個新的服務時,沒有ticket,但是有訪問S1得到的屬於域名C的TGC,拿着這個TGC訪問域名C,驗證TGC是否有效,若有效,C簽發一個ST給B,並且攜帶S2的域名,然後B訪問帶有S2並且帶有ST,然後再重定向到C並且攜帶