單點登錄SSO（Single Sign On）說得簡單點就是在一個多系統共存的環境下，用戶在一處登錄后，就不用在其他系統中登錄，也就是用戶的一次登錄能得到其他所有系統的信任。單點登錄在大型網站里使用得非常頻繁，例如像阿里巴巴這樣的網站，在網站的背后是成百上千的子系統，用戶一次操作或交易可能涉及到幾十個子系統的協作，如果每個子系統都需要用戶認證，不僅用戶會瘋掉，各子系統也會為這種重復認證授權的邏輯搞瘋掉。實現單點登錄說到底就是要解決如何產生和存儲那個信任，再就是其他系統如何驗證這個信任的有效性，因此要點也就以下兩個：

• 存儲信任
• 驗證信任

如果一個系統做到了開頭所講的效果，也就算單點登錄，單點登錄有不同的實現方式，本文就羅列我開發中所遇見過的實現方式。

以Cookie作為憑證媒介

最簡單的單點登錄實現方式，是使用cookie作為媒介，存放用戶憑證。
用戶登錄父應用之后，應用返回一個加密的cookie，當用戶訪問子應用的時候，攜帶上這個cookie，授權應用解密cookie并進行校驗，校驗通過則登錄當前用戶。

Auth via cookie

不難發現以上方式把信任存儲在客戶端的Cookie中，這種方式很容易令人質疑：

• Cookie不安全
• 不能跨域實現免登

對于第一個問題，通過加密Cookie可以保證安全性，當然這是在源代碼不泄露的前提下。如果Cookie的加密算法泄露，攻擊者通過偽造Cookie則可以偽造特定用戶身份，這是很危險的。
對于第二個問題，更是硬傷。

通過JSONP實現

對于跨域問題，可以使用JSONP實現。
用戶在父應用中登錄后，跟Session匹配的Cookie會存到客戶端中，當用戶需要登錄子應用的時候，授權應用訪問父應用提供的JSONP接口，并在請求中帶上父應用域名下的Cookie，父應用接收到請求，驗證用戶的登錄狀態，返回加密的信息，子應用通過解析返回來的加密信息來驗證用戶，如果通過驗證則登錄用戶。

Auth via jsonp

這種方式雖然能解決跨域問題，但是安全性其實跟把信任存儲到Cookie是差不多的。如果一旦加密算法泄露了，攻擊者可以在本地建立一個實現了登錄接口的假冒父應用，通過綁定Host來把子應用發起的請求指向本地的假冒父應用，并作出回應。
因為攻擊者完全可以按照加密算法來偽造響應請求，子應用接收到這個響應之后一樣可以通過驗證，并且登錄特定用戶。

通過頁面重定向的方式

最后一種介紹的方式，是通過父應用和子應用來回重定向中進行通信，實現信息的安全傳遞。
父應用提供一個GET方式的登錄接口，用戶通過子應用重定向連接的方式訪問這個接口，如果用戶還沒有登錄，則返回一個的登錄頁面，用戶輸入賬號密碼進行登錄。如果用戶已經登錄了，則生成加密的Token，并且重定向到子應用提供的驗證Token的接口，通過解密和校驗之后，子應用登錄當前用戶。

Auth via redirect

這種方式較前面兩種方式，接解決了上面兩種方法暴露出來的安全性問題和跨域的問題，但是并沒有前面兩種方式方便。
安全與方便，本來就是一對矛盾。

使用獨立登錄系統

一般說來，大型應用會把授權的邏輯與用戶信息的相關邏輯獨立成一個應用，稱為用戶中心。
用戶中心不處理業務邏輯，只是處理用戶信息的管理以及授權給第三方應用。第三方應用需要登錄的時候，則把用戶的登錄請求轉發給用戶中心進行處理，用戶處理完畢返回憑證，第三方應用驗證憑證，通過后就登錄用戶。