php做网站如何配置域名的/windows优化大师怎么使用

一、前言

1、SSO说明

SSO英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。SSO（Single Sign On）_百度百科

例如访问在网易账号中心（网易邮箱帐号安全中心 ）登录之后
访问以下站点都是登录状态

• 网易直播 http://v.163.com
• 网易博客 http://blog.163.com
• 网易花田 http://love.163.com
• 网易考拉 https://www.kaola.com
• 网易Lofter http://www.lofter.com

2、设计目标

本篇文章也主要是为了探讨如何设计&实现一个SSO系统

以下为需要实现的核心功能：

• 单点登录
• 单点登出
• 支持跨域单点登录
• 支持跨域单点登出

二、SSO设计与实现

1、核心应用与依赖

2、用户登录状态的存储与校验

常见的Web框架对于Session的实现都是生成一个SessionId存储在浏览器Cookie中。然后将Session内容存储在服务器端内存中，这个 ken.io 在之前Session工作原理中也提到过。整体也是借鉴这个思路。
用户登录成功之后，生成AuthToken交给客户端保存。如果是浏览器，就保存在Cookie中。如果是手机App就保存在App本地缓存中。本篇主要探讨基于Web站点的SSO。
用户在浏览需要登录的页面时，客户端将AuthToken提交给SSO服务校验登录状态/获取用户登录信息

对于登录信息的存储，建议采用Redis，使用Redis集群来存储登录信息，既可以保证高可用，又可以线性扩充。同时也可以让SSO服务满足负载均衡/可伸缩的需求。

3、用户登录/登录校验

• 登录时序图

按照上图，用户登录后Authtoken保存在Cookie中。 domian= test. com
浏览器会将domain设置成 .test.com，
这样访问所有*.test.com的web站点，都会将Authtoken携带到服务器端。
然后通过SSO服务，完成对用户状态的校验/用户登录信息的获取

• 登录信息获取/登录状态校验

4、用户登出

用户登出时要做的事情很简单：

1. 服务端清除缓存（Redis）中的登录状态
2. 客户端清除存储的AuthToken

• 登出时序图

5、跨域登录、登出

前面提到过，核心思路是客户端存储AuthToken，服务器端通过Redis存储登录信息。由于客户端是将AuthToken存储在Cookie中的。所以跨域要解决的问题，就是如何解决Cookie的跨域读写问题。

解决跨域的核心思路就是：

• 登录完成之后通过回调的方式，将AuthToken传递给主域名之外的站点，该站点自行将AuthToken保存在当前域下的Cookie中。

• 登出完成之后通过回调的方式，调用非主域名站点的登出页面，完成设置Cookie中的AuthToken过期的操作。

• 跨域登录（主域名已登录）

• 跨域登录（主域名未登录）

• 跨域登出

[关键点] 业务站点B怎么验证信任

首先业务站点A去访问受限资源，跳转到sso认证中心https://login.sso.com/login?redirectURL=https://www.a.com/center ，用户登录成功之后，sso认证中心生成一个令牌（如token）返回给系统A。

其实这时候，浏览器中存有两个Cookie，一个是业务站点A的，一个sso认证中心的，并且对应的session都是登录状态。

然后业务站点B第一次去访问受限资源，依然要先跳转sso认证中心，https://login.sso.com/login?redirectURL=https://www.b.com/center，此时，sso认证中心发现携带的Cookie（sso认证中心域名的Cookie）对应的session是登录状态的，那就直接省去登录的过程，直接把用户的令牌返回给系统B就行了。

此时浏览器中有三个Cookie，对应的session都是登录状态的。

转载

此上文字转载整理自https://ken.io