讲单点登录前，我们先来说说协议。

一、单系统登录机制

1、http无状态协议

web应用采用browser/server架构，http作为通信协议。http是无状态协议，浏览器每次请求，服务器会独立处理，不与前后请求产生关联，此过程用下图说明，三次请求之间没有任何联系。

但这意味着，任何用户能通过浏览器访问服务器资源，如果想保护服务器某些资源，必须限制浏览器请求，鉴别浏览器请求合法请求，忽略非法请求，http协议是无状态的，可以让服务器与浏览器维护一个状态，这就是会话机制。

2、会话机制

浏览器第一次请求服务器，服务器创建一个会话，将会话id作为响应一部分发送给浏览器，浏览器存储会话id，在后续二次与三次请求带上会话id，服务器取得请求会话id可知道是否为同一用户，过程用下图说明，后续请求与第一次产生关联。

服务器在内存中保存会话对象，浏览器怎么保存会话id？可以有如下方式。

1、请求参数

2、cookie

会话id作为请求参数，服务器接收请求能解析参数获得会话id，可以借此判断是否来自同一会话，但是这会给服务器造成太大压力。

我们可以让浏览器维护这个会话id，每次发送http请求浏览器自动发送会话id，ookie机制可以来做此事，cookie是浏览器用来存储少量数据的机制，数据以“key/value”形式存储，浏览器发送http请求时自带cookie信息。

tomcat会话机制实现了cookie，访问tomat服务器，浏览器可看到一个名为“JSESSIONID”的cookie，这是tomcat会话机制维护的会话id，使用cookie的请求响应过程如下图。

3、登录状态

我们假设浏览器第一次请求服务器需要输入用户名与密码验证身份，服务器拿到用户名密码去数据库比对。

正确的话当前持有会话的用户是合法用户，应把会话标记为‘"已授权"或“已登录”之类状态，既然是会话状态，自然要保存在会话对象中，tomcat在会话对象中设置如下登录状态。

登录状态浏览器请求服务器模型如下图描述：

每次请求受保护资源检查会话对象中的登录状态，只有isLogin=true会话才能访问，登录机制因此实现。

二、多系统复杂性

web系统从单系统发展为今天的多系统组成的应用群，面对众多系统，用户如果一个个登录，会很麻烦，如下图一样。

web系统由单系统发展成多系统组成应用群，复杂性不应该由用户买单，对用户而言访问web系统整个应用群与访问单个系统一样，登陆注销一次就行了。

单系统登录看似完美，但多系统应用群已经不再适用。

单系统登录方案核心是cookie，cookie携带会话id再浏览器与服务器之间维护会话状态。但是cookie是有限的，此限制是cookie的域，浏览器发送http请求携带与该域【匹配的cookie，而不是所有cookie。

这样我们似乎可以将web应用群所有子系统域名统一在一个顶级域名下，如“*.baidu.com”,然后把cookie域设置为“baidu.com”，此说法理论可以，早期很多系统登录采用同域名共享cookie方式。

共享cookie方式有很多限制，首先，应用群域名得统一，其次，应用群各系统技术要相同，不然cookie的key值不同，无法维持会话，共享cookie方式无法实现跨语言技术平台登录，如ajva、php’.net系统之间；第三，cookie本身不安全。

因此，我们需要全新登录方式实现多系统应用群登录，这就是单点登录。

三、单点登录

何为单点等点登录？ 单点登录全称Single Sign On（简称SSO），指的是在多系统应用群登录一个系统，便可在其他系统得到授权而无需再次登录，包括单点登录与单点注销等。

1、登录

相比单系统登录，sso需要独立的认证中心，只有认证中心能接受用户名密码等安全信息，其他系统不提供入口，只接受认证中心的间接授权。

间接授权通过令牌实现，sso认证中心验证用户用户密码没问题，创建授权令牌，在接下来跳转中，授权令牌作为参数发送给各个子系统。

子系统拿到令牌，得到授权，借此创建局部会话，局部会话登录方式与单系统登录方式相同。此过程就是单点登录原理，如下图：

上图概述：

1. 用户访问系统1的受保护资源，系统1发现用户未登录，跳转至sso认证中心，并将自己的地址作为参数

2. sso认证中心发现用户未登录，将用户引导至登录页面

3. 用户输入用户名密码提交登录申请

4. sso认证中心校验用户信息，创建用户与sso认证中心之间的会话，称为全局会话，同时创建授权令牌

5. sso认证中心带着令牌跳转会最初的请求地址（系统1）

6. 系统1拿到令牌，去sso认证中心校验令牌是否有效

7. sso认证中心校验令牌，返回有效，注册系统1

8. 系统1使用该令牌创建与用户的会话，称为局部会话，返回受保护资源

9. 用户访问系统2的受保护资源

10. 系统2发现用户未登录，跳转至sso认证中心，并将自己的地址作为参数

11. sso认证中心发现用户已登录，跳转回系统2的地址，并附上令牌

12. 系统2拿到令牌，去sso认证中心校验令牌是否有效

13. sso认证中心校验令牌，返回有效，注册系统2

14. 系统2使用该令牌创建与用户的局部会话，返回受保护资源

　　用户登录成功之后，会与sso认证中心及各个子系统建立会话，用户与sso认证中心建立的会话称为全局会话，用户与各个子系统建立的会话称为局部会话，局部会话建立之后，用户访问子系统受保护资源将不再通过sso认证中心，全局会话与局部会话有如下约束关系

1. 局部会话存在，全局会话一定存在

2. 全局会话存在，局部会话不一定存在

3. 全局会话销毁，局部会话必须销毁

2、注销

单点登录自然要单点注销，在一个子系统中注销，所有子系统会话被注销，用下图说明。

sso认证中心一直监听全局会话状态，一旦全局会话销毁，监听器通知所有注册系统执行注销操作。

对上图简要说明：

1. 用户向系统1发起注销请求

2. 系统1根据用户与系统1建立的会话id拿到令牌，向sso认证中心发起注销请求

3. sso认证中心校验令牌有效，销毁全局会话，同时取出所有用此令牌注册的系统地址

4. sso认证中心向所有注册系统发起注销请求

5. 各注册系统接收sso认证中心的注销请求，销毁局部会话

6. sso认证中心引导用户至登录页面

四、部署图

单点登录涉及sso认证中心与众子系统，子系统与sso认证中心需要通信交换令牌、校验令牌发起注销请求，因而子系统必须集成sso客户端。

sso认证中心是sso服务端，整个单点登录过程是sso客户端与服务端通信过程，见下图：

转载自：https://www.cnblogs.com/ywlaker/p/6113927.html#!comments