一种比较简单的web端SSO方案

这是种比较简单易行单点登录(SSO Single sign-on方案，只有auth token，没有request token，自己家的系统集成提供一点思路。文章的阅读对象需要比较熟悉web开发，因为省去了很多前置知识。

认证流程

单点登录的几个角色，单点登录服务（center), 接入的应用叫做客户端(client)。 当然描述的时候会涉及浏览器(browser），还有用户

• http://localhost:9080 是用户要登录的应用
• https://localhost:8443 是认证中心，提供sso认证的服务端

交互过程描述,可以想象成在一个论坛上进行QQ登录

1. 浏览器访问客户端需要登录的页面 http://localhost:9080/client/,此时会跳到单点登录服务器的地址 https://localhost:8443/server/login?service=http://localhost:9080/client/cas（对于用户浏览器是一次302重定向)
2. 如果此时用户在单点登录服务也没有登录的话，会显示登录表单页面，输入用户名 / 密码进行登录；
3. 成功登录单点登录服务之后，接着单点登录服务端回调客户端的回传地址：http://localhost:9080/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org（对于用户来说，浏览器进行了一次302重定向), 且带着一个 ticket(也可以叫做auth token）；
4. 客户端会把 ticket 提交给服务器来验证 ticket 是否有效（这一步是服务端之间的交互），如果有效服务器端将返回用户身份（客户端就拿到了当前用户的信息，可以是个类似id的东西)
5. 客户端可以再根据这个用户身份获取如当前系统用户 / 角色 / 权限信息, 从而完成整个登录过程

ticket的算法比较多的是使用md5或者sha-1q签名，客户端和单点登录服务端都有一个key，通过对某些信息做签名，验证数据的合法行。OpenResty - 基于MD5的参数签名认证 有提到过。

还有些问题需要解决，例如怎么退出，怎么记录不同的客户端。。根据实际情况在进行设计，参考这篇单点登录是怎么回事

下面是一张交互图

用户在每个客户端的登录状态是独立，SSO服务只提供用户认证，不提供用户权限等信息。

如果是要做平台，请参考 OAuth2.0协议，很多主流平台都用这个协议来做API或者是第三方认证平台，可以看看微博或者QQ登录的接入API。还有其它的开源解决方案，暂时没怎么研究过。

安全

• 一定要记得启用https
• 限制ticket的有效期
• 客户端拿着ticket去换取用户信息的时候，加入签名等

参考

• https://yq.aliyun.com/articles/42566 说的比较详细，通俗易懂一些，说了很多这里没有说明的问题。
• https://pypi.python.org/pypi/django-simple-sso 这是个django的sso实现，它这里还添加了request token，也就是在第一步客户端验证需要登录的时候，先要获取一个 request token（服务器之间的交互）, 然后拿着这个token，在换 auth token，后面基本相同了。