单点登录（SSO）系统的总结

　　前些天一位其他开发部门的同事找到我们了解一些关于SSO单点登录的事，他们要做单点登录，同时也需要和我们这边的系统做集成，要我帮忙做一单点登录，了解关于单点登录的解决方案和资料，虽然做单点登录已经很久了，自以为对SSO系统也算比较了解。但是被他这么一问，反倒是一下讲不清楚，所以总结一下目前正在使用的SSO 解决方案的实现原理，也算是真正的再一次学习SSO 吧。

 

　　首先，单点登陆（SSO） 是为了一次登陆，就能在其他各子系统获得访问权限，无需用户再输入用户名和密码，所以一般会使用集中验证方式，多个站点集中SSO验证。如下图所示：

 

　　所以，通过上图，可以看出，当访问主站是，会请求SSO 进行身份验证，SSO系统验证成功后，会给主站返回一个令牌，这样在主站（OA）访问其他子系统的时候，带上令牌，这样就实现了单点登录，无需再验证用户名和密码。

 

　　下面说说SSO 系统单点登录的验证过程：

 

　　当用户访问应用系统是，会验证session 是否存在，如果session存在，则直接进入系统，如果session 不存在，说明用户未登陆该系统，然后验证用户的主系统是否登陆，是否有令牌，如果有令牌则验证令牌是否有效，如果令牌合法，那么进入该应用系统，反之则需要重新登陆，生成令牌。

 

　　注：这里的令牌，是通过加密的cookie传输的，由SSO系统颁发可在各分站中流通的标识。

　　令牌是由SSO系统颁发，系统接收到令牌之后，生成会话（Session）。 令牌通过Cookies的方式在各跨域分站中进行流通，所以SSO生成的令牌放在Cookie中返回给各个系统，并指定Cookie.Domain="oa.com"。

　　由于令牌是通过cookie 流通，所以各业务子系统都需要在oa.com这个域下，否者会接收不到SSO产生的令牌。其次是需要增加一个SysAdapter.aspx 中间页，用于令牌的获取和验证。