1. 概念

　　單點登錄SSO，說的是在一個多系統(tǒng)共存的環(huán)境下，用戶在一處登錄后，就不用在其他系統(tǒng)中登錄，也就是用戶的一次登錄能得到其他所有系統(tǒng)的信任。

　　2. 單點登錄的要點 - 存儲信任;- 驗證信任;

　　3. 實現(xiàn)單點登錄的三種方式

　　3.1 以cookie作為憑證，最簡單的單點登錄實現(xiàn)方式，是使用cookie作為媒介，存放用戶憑證。用戶登錄父應(yīng)用之后，應(yīng)用返回一個加密的cookie，當(dāng)用戶訪問子應(yīng)用的時候，攜帶上這個cookie，授權(quán)應(yīng)用解密cookie進行校驗，校驗通過則登錄當(dāng)前用戶。

　　缺點： - cookie不安全; - 通過加密可以保證安全性，但如果對方掌握了解密算法就完蛋了; - 不能跨域?qū)崿F(xiàn)免登。

　　3.2 通過JSONP實現(xiàn) 對于跨域問題，可以使用JSONP實現(xiàn)。用戶在父應(yīng)用中登錄后，跟session匹配的cookie會存到客戶端中，當(dāng)用戶需要登錄子應(yīng)用的時候，授權(quán)應(yīng)用訪問父應(yīng)用提供的JSONP接口，并在請求中帶上父應(yīng)用域名下的cookie，父應(yīng)用接收到請求，驗證用戶的登錄狀態(tài)，返回加密的信息，子應(yīng)用通過解析返回來的加密信息來驗證用戶，如果通過驗證則登錄用戶。

　　缺點： 這種方法雖然能解決跨域問題，但是治標(biāo)不治本，沒有解決cookie安全性的問題。

　　3.3 通過頁面重定向的方式，最后一種介紹的方式，是通過父應(yīng)用和子應(yīng)用來回重定向進行通信，實現(xiàn)信息的安全傳遞。父應(yīng)用提供一個GET方式的登錄接口A(此時的父應(yīng)用接口固定，攻擊者無法去偽造)，用戶通過子應(yīng)用重定向連接的方式訪問這個接口，如果用戶還沒有登錄，則返回一個登錄頁面，用戶輸入賬號密碼進行登錄，如果用戶已經(jīng)登錄了，則生成加密的token，并且重定向到子應(yīng)用提供的驗證token的接口B(此時的子應(yīng)用接口固定，攻擊者無法去偽造)，通過解密和校驗之后，子應(yīng)用登錄當(dāng)前用戶。 缺點： 這種方式較前面的兩種方式，是解決了安全性和跨域的問題，但是并沒有前面兩種方式簡單，安全與方便，本來就是矛盾的。

　　4. 使用獨立登錄系統(tǒng)

　　一般來說，大型應(yīng)用會把授權(quán)的邏輯和用戶信息的相關(guān)邏輯獨立成一個應(yīng)用，稱為用戶中心。用戶中心不處理業(yè)務(wù)邏輯，只是處理用戶信息的管理以及授權(quán)給第三方應(yīng)用。第三方應(yīng)用需要登錄的時候，則把用戶的登錄請求轉(zhuǎn)發(fā)給用戶中心進行處理，用戶處理完畢后返回憑證，第三方應(yīng)用驗證憑證，通過后就登錄用戶。

　　5. sso(單點登錄)與OAuth2.0(授權(quán))的區(qū)別?

　　5.1 sso(單點登錄) sso通常處理的是同一個公司的不同應(yīng)用間的訪問登錄問題，如企業(yè)應(yīng)用有很多子系統(tǒng)，只需登錄一個系統(tǒng)，就可以實現(xiàn)不同子系統(tǒng)間的跳轉(zhuǎn)，而避免了登錄操作; 通過cookie、jsonp、重定向來實現(xiàn)。

　　5.2 OAuth2.0(授權(quán))OAuth2.0解決的是服務(wù)提供方(如微信)給第三方應(yīng)用授權(quán)的問題，簡稱微信登錄。OAuth2.0是一種具體的協(xié)議，只是為用戶資源的授權(quán)提供了一個安全的、開放的而又簡易的標(biāo)準(zhǔn)，OAuth2.0(授權(quán))為客戶開發(fā)者開發(fā)web應(yīng)用，桌面應(yīng)用程序，移動應(yīng)用及客廳設(shè)備提供特定的授權(quán)流程。