什么是单点登录SSO(Single Sign-On)
SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。
本文以简化的PHP代码案例来让大家抛开理念,更简单认识SSO的应用。
我这边简单配置了3个域名及对应的文件夹
├─A 文件夹 a.com 应用系统
│ ├─index.php
│ └─login.php
│
├─B 文件夹 b.com 应用系统
│ ├─index.php
│ └─login.php
│
├─C 文件夹 c.com 登录系统
│ └─login.php
A和B都是业务系统,C是专门用来登录的系统,都不在一个域。
当然,这里把它们抽离开来只是简化抽象便于理解。
下面看下 A 服务器的文件(服务器B仅uri与A不同):
-------------------------------------index.php-------------------------------------
-------------------------------------login.php-------------------------------------
<?php
// 已在本站登录,直接返回
if (isset($_COOKIE['userInfo'])) {
session_start();
$username = $_SESSION['username'];
echo $username ."已登录";
die;
}
// 由登陆中心登录成功返回过来的,处理并返回用户操作
if (isset($_GET['action']) && $_GET['action'] == 'sso') {
setcookie('userInfo',$_GET['userInfo']);
session_start();
$username = $_SESSION['username'];
echo $username ."已授权登录";
die;
}
// 未登录,跳转至登陆中心
if (!isset($_COOKIE['userInfo'])) {
header('Location: http://appdev.aigupiao.com/sso.php?uri='.$_SERVER['host']."&username=zhangsan");
die;
}
下面看下登录系统 C 的代码:
-------------------------------------login.php-------------------------------------
<?php
//已在登陆中心登录,直接返回登录站点
session_start();
if (isset($_SESSION['username'])) {
header('Location: http://'.$_GET['uri'].'/sso.php?action=sso&username='.$_SESSION['username']);
die;
}
//登录处理并返回
if (isset($_GET['username'])) {
$_SESSION['username'] = $_GET['username'];
$_SESSION['token'] = rand(100000,999999);
header('Location: http://'.$_GET['uri'].'/sso.php?action=sso&username='.$_GET['username']."&token=".$_SESSION['token']);
die;
}
登出
只需要清除本地Cookie,调用SSO站点接口清除登陆缓存的状态即可实现登出。
以上就是一个简单的SSO单点登录系统方案。当然实际应用中,会有redis...来存储公共的登录数据,每个业务系统会有自己的权限验证。