单点登录SSO-图示与讲解

敢说最准确的单点登录图示，因为：1. 我严格对照所画时序图的每个步骤，开发了完整的跨域单点登录范例；2. 所有服务端步骤，都在代码中逐一标注，跟踪代码就能两相对照，实际的深入理解流程；3. SSO核心在写Cookie、URL传参策略，其参与对象多、逻辑分支繁杂也难倒很多人。所见的其它教程图示往往对Cookie和传参语焉不详，让人初看简单明了、细想很困惑。我做的时序图详细展现了这些关键细节。 ### 单点登录(SSO)知识点详解 #### 概述 单点登录（Single Sign-On，简称SSO）是一种身份认证机制，允许用户通过一次登录即可访问多个应用系统，而无需重复输入凭证。这种机制极大地提高了用户体验，同时也简化了安全管理。 #### 核心知识点解析 ##### 1. 跨域WebSSO时序图的关键要素 - **Cookie管理**：在跨域SSO场景中，Cookie的管理尤为重要。由于浏览器安全策略限制，不同一级或顶级域名下的站点无法相互读取对方设置的Cookie。因此，实现跨域SSO需要特别关注Cookie的写入、读取策略及其传递方式。 - **写Cookie**：服务端成功验证用户身份后，会在用户的浏览器中写入一个特定的Cookie（通常包含一个令牌或其他标识符），这个Cookie只对SSO服务站点可见。 - **读Cookie**：用户访问其他需要SSO认证的站点时，该站点会检查是否有来自SSO服务站点的有效Cookie，如果有，则认为用户已经经过验证，无需再次登录。 - **URL传参策略**：除了Cookie之外，URL参数也是实现SSO的重要手段之一。当用户尝试访问一个需要认证的资源时，如果没有找到有效的Cookie，系统会将用户重定向至SSO服务站点进行登录。在这个过程中，需要通过URL参数传递原请求的信息（如返回地址等），以便登录成功后能够正确地返回原请求页面。 - **服务端步骤与代码对应**：为了确保SSO过程的透明性和可追踪性，开发者需要在服务端代码中明确标注每一步操作的具体实现，包括Cookie的写入时机、URL参数的设置等，这有助于理解和调试整个SSO流程。 ##### 2. 关键步骤详解 - **步骤1：用户访问子站点**：当用户首次访问子站点（如java-client.net或php-client.cn）时，如果检测到没有有效的登录状态（通常是通过检查Cookie来判断），子站点会将用户重定向到SSO服务站点，并在URL中传递返回地址等信息。 - **步骤2：SSO服务站点验证**：用户被重定向到SSO服务站点后，如果发现用户尚未登录，则展示登录界面。用户提交登录信息后，SSO服务站点会验证用户身份，成功后会创建一个令牌（Token）并将其存储在Cookie中，同时记录该令牌与用户账户之间的关系。 - **步骤3：登录成功后的重定向**：SSO服务站点在用户登录成功后，会将用户重定向回最初访问的子站点。此时，子站点会检查是否有来自SSO服务站点的有效Cookie，如果有，则表明用户已经通过了身份验证。 - **步骤4：后续访问流程**：用户在登录后的后续访问中，只要子站点能检测到有效的SSO Cookie，就无需再次进行身份验证，从而实现了单点登录的功能。 #### 基础概念解释 - **跨域WebSSO**：指在不同的一级或顶级域名下实现单点登录的能力。例如，用户在baibaomen.com登录后，无需再次登录便能在java-client.net和php-client.cn等站点访问受保护的资源。 - **Cookie的安全性限制**：浏览器默认情况下不允许不同的一级或顶级域名间的站点互相读取对方设置的Cookie。这意味着baidu.com不能读取cnblogs.com设置的Cookie。但同一级域名下的不同站点（比如二级域名）可以通过设置`domain`参数共享Cookie。 - **HTTP协议的无状态特性**：HTTP是一种无状态协议，即服务器无法记住客户端之前发送的数据。为了保持会话状态，常见的做法是利用Cookie或者URL参数等方式传递必要的信息。 - **应用场景**：在本案例中，涉及的站点主要包括SSO服务站点（sso.baibaomen.com）、子站点一（java-client.net）和子站点二（php-client.cn）。每个站点都有各自的登录/注销页面及需要认证的页面（如auth-required.jsp、auth-required2.jsp等）。 通过以上知识点的详细解析，我们不仅了解了跨域SSO的基本原理，还掌握了其实现的关键技术和步骤。这对于开发人员来说是非常宝贵的资源，可以帮助他们在实际项目中更加高效地实施SSO解决方案。