单点登录SSO流程分析
用户访问网站A,需要认证登录。网站A重定向至登录站
SSO
(这里会走一次第五步)。如果
SSO
判断用户没有登录则需要用户提交口令登录。登录成功之后在SSO
站点域名下面写上关于SSO
的SESSION_ID
Cookie
并且重定向(带上一段token)至网站A。网站A拿到token之后去后端检查token有效性,有效则用户登录。
接下来用户访问网站B,需要认证登录,重定向到登录站SSO。
SSO
检查当前域名下是否有已经登录过的Cookie
如果有直接生成token
重定向至原来的网站(否则走第二步)接下来走第三步。
所有站点的
Auth
中间件都会去SSO
判断用户是否登录
如果用户退出登录,触发退出登录站点会去
SSO
中心注销当前用户登录信息。
这种流程方式是否有问题?还有其他方式吗?欢迎探讨、交流
推荐文章: