單點登入

什麼是單點登入？單點登入全稱Single Sign On（以下簡稱SSO），是指在多系統應用群中登入一個系統，便可在其他所有系統中得到授權而無需再次登入，包括單點登入與單點登出兩部分

1、登入
　　相比於單系統登入，sso需要一個獨立的認證中心，只有認證中心能接受使用者的使用者名稱密碼等安全資訊，其他系統不提供登入入口，只接受認證中心的間接授權。間接授權通過令牌實現，sso認證中心驗證使用者的使用者名稱密碼沒問題，建立授權令牌，在接下來的跳轉過程中，授權令牌作為引數傳送給各個子系統，子系統拿到令牌，即得到了授權，可以藉此建立區域性會話，區域性會話登入方式與單系統的登入方式相同。這個過程，也就是單點登入的原理，用下圖說明
　　
下面對上圖簡要描述

1、使用者訪問系統1的受保護資源，系統1發現使用者未登入，跳轉至sso認證中心，並將自己的地址作為引數
2、sso認證中心發現使用者未登入，將使用者引導至登入頁面
使用者輸入使用者名稱密碼提交登入申請
3、sso認證中心校驗使用者資訊，建立使用者與sso認證中心之間的會話，稱為全域性會話，同時建立授權令牌
4、sso認證中心帶著令牌跳轉會最初的請求地址（系統1）
5、系統1拿到令牌，去sso認證中心校驗令牌是否有效
6、sso認證中心校驗令牌，返回有效，註冊系統1
7、系統1使用該令牌建立與使用者的會話，稱為區域性會話，返回受保護資源

8、使用者訪問系統2的受保護資源
9、系統2發現使用者未登入，跳轉至sso認證中心，並將自己的地址作為引數
10、sso認證中心發現使用者已登入，跳轉回系統2的地址，並附上令牌
11、系統2拿到令牌，去sso認證中心校驗令牌是否有效
12、sso認證中心校驗令牌，返回有效，註冊系統2
13、系統2使用該令牌建立與使用者的區域性會話，返回受保護資源
　　使用者登入成功之後，會與sso認證中心及各個子系統建立會話，使用者與sso認證中心建立的會話稱為全域性會話，使用者與各個子系統建立的會話稱為區域性會話，區域性會話建立之後，使用者訪問子系統受保護資源將不再通過sso認證中心，全域性會話與區域性會話有如下約束關係：

1、區域性會話存在，全域性會話一定存在
2、全域性會話存在，區域性會話不一定存在
3、全域性會話銷燬，區域性會話必須銷燬

登出

單點登入自然也要單點登出，在一個子系統中登出，所有子系統的會話都將被銷燬，用下面的圖來說明

sso認證中心一直監聽全域性會話的狀態，一旦全域性會話銷燬，監聽器將通知所有註冊系統執行登出操作

下面對上圖簡要說明

1、使用者向系統1發起登出請求
2、系統1根據使用者與系統1建立的會話id拿到令牌，向sso認證中心發起登出請求
3、sso認證中心校驗令牌有效，銷燬全域性會話，同時取出所有用此令牌註冊的系統地址
4、sso認證中心向所有註冊系統發起登出請求
5、各註冊系統接收sso認證中心的登出請求，銷燬區域性會話
6、sso認證中心引導使用者至登入頁面

部署圖

單點登入涉及sso認證中心與眾子系統，子系統與sso認證中心需要通訊以交換令牌、校驗令牌及發起登出請求，因而子系統必須整合sso的客戶端，sso認證中心則是sso服務端，整個單點登入過程實質是sso客戶端與服務端通訊的過程，用下圖描述：
　　
sso認證中心與sso客戶端通訊方式有多種，這裡以簡單好用的httpClient為例，web service、rpc、restful api都可以