單點登錄(Single Sign On)，簡稱為?SSO，是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。SSO 的定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。

　　單點登錄，又譯為單一簽入，一種對于許多相互關(guān)連，但是又是各自獨立的軟件系統(tǒng)，提供訪問控制的屬性。當擁有這項屬性時，當用戶登錄時，就可以獲取所有系統(tǒng)的訪問權(quán)限，不用對每個單一系統(tǒng)都逐一登錄。這項功能通常是以輕型目錄訪問協(xié)議來實現(xiàn)，在服務器上會將用戶信息存儲到 LDAP 數(shù)據(jù)庫中。相同的，單一退出(single sign-off)就是指，只需要單一的退出動作，就可以結(jié)束對于多個系統(tǒng)的訪問權(quán)限。

　　當用戶第一次訪問應用系統(tǒng) 1 的時候，因為還沒有登錄，會被引導到認證系統(tǒng)中進行登錄;根據(jù)用戶提供的登錄信息，認證系統(tǒng)進行身份校驗，如果通過校驗，應該返回給用戶一個認證的憑據(jù)--ticket;用戶再訪問別的應用的時候就會將這個 ticket 帶上，作為自己認證的憑據(jù)，應用系統(tǒng)接受到請求之后會把 ticket 送到認證系統(tǒng)進行校驗，檢查 ticket 的合法性。如果通過校驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng) 2 和應用系統(tǒng) 3 了。

　　單點登錄在大型網(wǎng)站里使用得非常頻繁，例如像阿里巴巴這樣的網(wǎng)站，在網(wǎng)站的背后是成百上千的子系統(tǒng)，用戶一次操作或交易可能涉及到幾十個子系統(tǒng)的協(xié)作，如果每個子系統(tǒng)都需要用戶認證，不僅用戶會瘋掉，各子系統(tǒng)也會為這種重復認證授權(quán)的邏輯搞瘋掉。實現(xiàn)單點登錄說到底就是要解決如何產(chǎn)生和存儲那個信任，再就是其他系統(tǒng)如何驗證這個信任的有效性，因此要點也就是：存儲信任、驗證信任。如果一個系統(tǒng)做到了開頭所講的效果，也就算單點登錄，單點登錄有不同的實現(xiàn)方式。

　　單點登錄的優(yōu)點

　　使用單點登錄的好處包括：

　　降低訪問第三方網(wǎng)站的風險(不存儲用戶密碼，或在外部管理)。

　　減少因不同的用戶名和密碼組合而帶來的密碼疲勞。

　　減少為相同的身份重新輸入密碼所花費的時間。

　　因減少與密碼相關(guān)的調(diào)用 IT 服務臺的次數(shù)而降低 IT 成本。

　　SSO 為所有其它應用程序和系統(tǒng)，以集中的驗證服務器提供身份驗證，并結(jié)合技術(shù)以確保用戶不必頻繁輸入密碼。

　　很早期的公司，一家公司可能只有一個 Server，慢慢的 Server 開始變多了。每個 Server 都要進行注冊登錄，退出的時候又要一個個退出。用戶體驗很不好!你可以想象一下，上豆瓣 要登錄豆瓣 FM、豆瓣讀書、豆瓣電影、豆瓣日記……真的會讓人崩潰的。我們想要另一種登錄體驗：一家企業(yè)下的服務只要一次注冊，登錄的時候只要一次登錄，退出的時候只要一次退出。怎么做?

　　一次注冊。 一次注冊不難，想一下是不是只要 Server 之間同步用戶信息就行了?可以，但這樣描述不太完整，后續(xù)講用戶注冊的時候詳細說。實際上用戶信息的管理才是 SSO 真正的難點，只是作為初學者，我們的難點在于實現(xiàn) SSO 的技術(shù)!我們先討論實現(xiàn)手段。

　　一次登錄與一次退出。 回頭看看普通商場的故事，什么東西才是保持登錄狀態(tài)關(guān)鍵的東西?記錄器(session)?那種叫做 cookie 的紙張?寫在紙張上的 ID? 是 session 里面記錄的信息跟那個 ID，cookie 不只是記錄 ID 的工具而已。客戶端持有 ID，服務端持有 session，兩者一起用來保持登錄狀態(tài)。客戶端需要用 ID 來作為憑證，而服務端需要用 session 來驗證 ID 的有效性(ID 可能過期、可能根本就是偽造的找不到對于的信息、ID 下對應的客戶端還沒有進行登錄驗證等)。但是 session 這東西一開始是每個 server 自己獨有的，豆瓣 FM 有自己的 session、豆瓣讀書有自己的 session，而記錄 ID 的 cookie 又是不能跨域的。所以，我們要實現(xiàn)一次登錄一次退出，只需要想辦法讓各個 server 的共用一個 session 的信息，讓客戶端在各個域名下都能持有這個 ID 就好了。再進一步講，只要各個 server 拿到同一個 ID，都能有辦法檢驗出 ID 的有效性、并且能得到 ID 對應的用戶信息就行了，也就是能檢驗 ID 。