举个简单又不失一般性的场景,两个应用 A 和 B,域名分别是www.a.com、www.b.com,统一认证中心的域名是www.sso.com

1.用户通过浏览器先访问 A系统www.a.com/pageA , 这个pageA是个需要登录才能访问的页面,

2.A系统发现用户没有登录, 就重定向到认证中心,www.sso.com/login?redirect=www.a.com/pageA

3.浏览器会用这个www.sso.com/login?redirect=www.a.com/pageA 去访问认证中心

4.认证中心一看, 没登录过, 认证中心就让用户去登录, 登录成功以后, 认证中心要做几件重要的事情 :

   4.1. 建立一个session。

   4.2. 创建一个ticket (可以认为是个随机字符串)

   4.3.  然后通过浏览器再重定向到A系统, url 中带着ticket : www.a.com/pageA?ticket=T123   与此同时cookie也会发给浏览器,比如:Set cookie : ssoid=1234, sso.com

   4.4 A系统ticket拿到以后需要再次向认证中心做验证,认证中心说没错,是我发的,那你就可以认为用户在认证中心登录过了

 5.建立session, 返回pageA这个资源,同时给浏览器发一个cookie : Set cookie : sessionid=xxxx, a.com

     注意,这时候浏览器实际上有两个cookie,一个是你发的,另外一个是认证中心发的。"

6.访问www.b.com/pageB和访问www.a.com/pageA 唯一的不同就是不需要用户登录了,因为浏览器已经有了认证中心的cookie, 直接发给www.sso.com就可以了

将以上步骤贴个图,更加清晰:

 

posted on 2017-07-27 18:06  xuqiyu  阅读(4665)  评论(0编辑  收藏  举报