大一统的中央集权-SSO

         “号外号外，惊天大消息，人类要开始做SSO系统啦”。一大清早就听见PHP在哪里吆喝道。

        “大清早还让不让人睡觉了”，C恶狠狠的说。“虽说你是世界上最好的语言，但是也别到处卖弄啊，SSO是个什么鬼，说人话”

       PHP：大傻帽，SSO都不知道啊。Single Sign One 啊。单点登录啊。

        C：哈哈哈哈哈哈哈哈哈。让我笑一会儿。不是就个登录么？至于说的这么高大上啊。你去看看用我写的订单系统去，每天有多少人登录。他们想访问我的系统时，必须输入用户名和密码，然后我进行验证，验证通过后我就在我这边建立一个叫做session的东西，然后把sessionId通过cookie发送给浏览器，下次他们在登录的时候会带着cookie一起发过来，我从cookie中拿到sessionId就知道他们已经登录啦。通过cookie和session就可以把无状态通信的转换成有状态的啦，是不是so easy啊。C说完满脸自豪的样子。

        PHP：你说的登录没问题啊，可是人们并不是每天只支付你的订单系统哦。他们可能还需要登录用户系统，可能还需要登录库存系统呢。比如说有个叫小明的用户登录了你的订单系统，然后想去看库存系统，发现又让登录，再次输入用户名密码，然后又去登录用户系统，又输一次用户名密码，去访问财务系统，有来一遍。。。。。如果有一万个服务需要访问，那估计别干别的啦。

        C：这个这个这个。。。

        PHP：是吧，本来就是同一个用户，不论是访问订单系统也好，库存系统也罢，都是我们自己内部的系统，所以在一个地方登陆了就能自动登陆别的系统不就好了么。这就是人类要开始搞SSO得原因喽。

        C：哇，果然是高大上的样子。可是要怎么实现呢？感觉超级难得样子呢。

        PHP：你刚刚不是还洋洋得意的把登录的原理说了一遍么，自己好好想想呢。

        C：嗯。对。登录就是通过cookie和session来实现有状态的。我可以把cookie做共享啊。登录完订单系统之后我就有了cookie，去登录库存系统的时候我把cookie带过去不就行了么？

        PHP：NO! NO!NO! 你这样是有问题得。1，cookie是不能跨域的，比如说a.com产生的cookie是不能传递给b.com的。2，就算cookie可以带过来了，可是库存系统并没有session啊，如何验证呢？

        C:这个简单啊。1，我们可以让所有的系统都挂在同一个一级域名下啊。比如我叫a.corp.com，库存系统叫b.corp.com，财务系统叫c.corp.com，这样cookie不就能共享了嘛。2，既然cookie能共享，那session当然也能共享。之前把session存在自己的内存里，别人拿不到，我从内存里拿出来放在一个大家都能拿到的地方不就行了么？就像下面这样。哈哈哈我是不是很聪明。

        这个时候一旁的Java终于按奈不住了：你的系统中可能有很多个系统，而且各自实现的语言可能也不尽相同，有用C++的，有用PHP的，有用GO的，也有用Java的，共享session就会显得很麻烦啦。各个系统还得自己维护用户。其实啦，人们做SSO的初衷就是想消除多账号的问题，不用各自系统维护用户的信息。他们将会建立一个统一的认证中心，所用的用户的认证工作都交给这个认证中心来完成就OK啦。

        PHP和C：哇。好高大上哦，大佬，给我们讲讲呗。

        JAVA：看你们这么好学，听我娓娓道来。

        比如说现在用户第一次像订单系统发起了访问：www.a.corp.com，这个时候订单系统发现用户没有登录的话，那他需要做的一项操作就是重定向认证中心：www.sso.com/login?redirect=www.a.corp.com。其中www.sso.com/login就是认证中心的登录地址，redirect=www.a.corp.com就是登录完成后需要跳转到的地址。在认证中心登录之后认证中心会做以下几件事情：

1，建立一个session

2，发放ticket

3，重定向到你的地址，并在浏览器种下cookie信息。注意这个cookie是sso服务器的cookie哦。如：ssoid=1,domain=sso.com

大致流程如下：

需要注意的有两点：

1，进行了两次重定向哦。第一次是重定向到SSO的服务器，第二次是重定向我们的后端服务器。

2，流程完成后再浏览器种了两个cookie，一个是sso服务器的cookie，一个是订单系统的cookie。

        PHP和C听毕，拍手称快：大哥真不愧是世界上最好的语言呢。C接着问，那接着库存系统会发生什么呢？

        Java：这个简单啊。还记得上面在浏览器的cookie吗?看下面的流程。

你俩想想，这个流程之后浏览器会有几个cookie呢？

        PHP和C争先恐后的喊道：我知道我知道。应该是有三个的。一个是认证中心SSO的cookie： domain sso.com，一个是订单系统的cookie：a.corp.com，还有一个是库存系统的cookie：domain b.corp.com。实质上就是保存了一个认证中心的cookie和多个子系统的cookie而已啦

        Java：孺子可教也。一般我们称SSO的cookie的对应的会话成为全局会话，各自子系统cookie对应的会话称为局部会话。

        PHP和C：听起来是高大上，不会感觉好绕啊。又是各种重定向，又是各种cookie的，我们都懵逼了，实现起来岂不是更加的困难了。

        Java：你们真是out啊，听说过CAS(Central Authentication Service)吗？耶鲁大学提出的一套关于SSO的解决方案，现在都已经广泛的推广啦。大家都在用啦。

        PHP和C听毕，感叹道：学无止境啊。比我优秀的人都还在不断进步，我们还有不学习的道理啊。