SSO单点登陆，单点注销设计思想

5、设计思路及折衷

        在常见的web站点中，当存在多个站点需要登陆，而这些站点都是使用同一套的登陆流程，

当用户在其中一个站点登陆后，其他站点并未记录用户的登陆信息，导致用户每次登陆新

站点需要进行新的登陆过程，这样给用户的体验是十分的不友好的，这时候就可以使用单点登陆，

单点注销的方式实现用户的登陆流程。

       由于站点是使用session存储用户信息的，所以该设计模式是针对session存储用户信息的设计方式，

首先以上系统1，系统2，sso认证中心都可以当作不同的站点,但是是使用同一套用户体系。为了实现单点

登陆，需要一个站点记录各个站点状态，就是sso认证中心。这存在唯一的登陆入口，就是sso认证中心提供

的登陆地址。当用户访问系统1时，如果系统1判断用户已经登陆，那么直接访问系统1站点内的资源，如果用户未登录

则请求到sso认证中心，判断认证中心，用户是否登陆。

 

一：如果认证中心记录用户已经登陆，则将登陆后的用户信息通过，jwt加密成token，转发给系统1，系统1在通过认证中心判断token是否有效，如果token正确，系统解析token后，将用户信息存储到session,其中token通过存储到cookie，配置不同子域同cookie，这样不同的站点只要*域名相同也可以获取同一个cookie。

二：如果认证中心记录用户未登陆，则跳转到sso的登陆入口。

三：以上过程需要将系统1的访问地址作为参数，在跳转过程作为参数传递，登陆成功后直接跳转到系统1地址。

四：当每次在sso认证中心认证token过程中，需要记录下所有系统的地址，然后在对这些地址进行注销，实现单点注销

但是本文章中的系统采用的是session作为存储信息，如果要清除session需要带上每一个系统的cookie，然后通过这些cookie

请求每个系统的注销接口。而记录这些cookie和路由地址到sso认证中心的缓存中，当访问的用户多的话，每一个用户都记录一份系统路由，cookie，对服务器压力可能也会比较大，于是换个角度想想，可以将其中一个站点点击注销后，将一个标记变量记录到cookie,访问其他站点如果发现这个cookie标记，则清除session,如果这个cookie标记在登陆过程中存在，则清除否则就会一直不能登陆。这样的话只需要每一个用户的浏览器记录cookie，就减轻服务器压力。

 

性能：比较单点注销的话，对服务器压力比较小。

可扩展性：该sso系统封装和配置好了对应内容，可以在各个模块下扩展开发。

安全性：可能cookie会被篡改，导致单点登陆失效。

服务稳定性：服务器不需要存储过多数据，也不会影响服务器性能。

6.1、模块流程图及说明

单点登录和单点注销的大致流程图如上。

实现单点登录的方式：

1. 在访问需要登录的站点A时，改站点A用户未登录，则请求到认证中心（参数：url=需要登录的站点A地址），判断用户在认证中心是否登录。

（1）如果用户在认证中心已登录，将用户信息使用jwt加密成token，发送至用户需要登录的站点A，也就是传过来的参数url站点，当然需要判断url是否合法，如http://www.baidu.com 这样的其他站点或者随机字符串等需要过滤。需要登录的站点A拿到token后（token的传输可以使用GET 或者 COOKIE（拿到token后需要清除token）），将token发送至认证中心，认证是否合法，如果token是合法的话，将token解析成用户信息，存储到站点A的SESSION中。这样站点A就属于登录状态，其他站点同理。

（2）如果用户在认证中心未登录，则跳转到认证中心的用户登录路口，并且这个路口后携带参数URL为站点A的地址。当用户登录成功后，则将token发送至站点A，站点A拿到token后（token的传输可以使用GET 或者 COOKIE（拿到token后需要清除token）），将token发送至认证中心，认证是否合法，如果token是合法的话，将token解析成用户信息，存储到站点A的SESSION中。这样站点A就属于登录状态，其他站点同理。

实现单点注销的方式：

（1）在其中一个站点A注销后，COOKIE记录一个标记。当其他站点访问需要登录的页面，发现到这个标记则注销。如果是登录情况下，发现这个标记则清理，这样就解决了单点注销的问题。

6.2、数据结构及说明

1.单点登录

//判断用户是否登录 否则请求sso认证中心 zhw20190327   单点登录
    public function check_login_sso(){
        $this->gethelper('http');
        $url  ="http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
        //判断是否进行单点注销
        $login_out =$this->input->cookie("x7sy_login_out");
        if($login_out){
            $this->session->sess_destroy();
            locationUrl(Sso_Route."?url=$url",array());
        }
        //获取token 和当前请求地址的路由
        $token =$this->input->cookie("x7sy_token");
        $this->input->set_cookie("token",NULL,3600,Domain_Sub);
        //zhw 20190326 判断是否传递令牌
        if(!$this->isadminlogin()&& $token){
            //todo 校验令牌
            $res = sendCurlPost(Sso_Center."?url=$url",array("token"=>$token));
            //令牌正确记录用户信息到session
            if($res){
                $user_info = Jwt_tools::login_token_decode($token);
                $this->set_admin_session($user_info);
            }
            //跳转到登录页
            else{
                locationUrl(Sso_Center."?url=$url",array());
            }
        }
        //zhw 20190326 判断是否登录
        if(!$this->isadminlogin()){
            locationUrl(Sso_Center."?url=$url",array());
        }
    }
    

2.单点注销

    //20190402 zhw 单点注销
    public function loginout(){
        try{
            $this->admin_operation_log(1638,4,0,"管理员退出");
        }catch (Exception $e){}
        //todo 删除session
        $this->session->sess_destroy();
        $this->input->set_cookie("login_out",md5("flag"),3600,Domain_Sub);
        $this->adminMsg("退出成功，正在跳转！","ok",UrlRecombination("login/index",array(),$this->AdminFolder));
    }
    

3.认证中心

//zhw 20190326 sso认证中心
    public function check_login_center(){
        //访问需要登录页面的资源的地址
        $url =  $this->method_get_value("url");
        !$url &&  locationUrl(Sso_Route,array());
        //如果未登录，跳转到登录页面，附带域名地址作为参数
        if(!$this->isadminlogin()){
            locationUrl(Sso_Route."?url=$url",array());
        }
        //如果已登录，就将用户token提供给需要登录的页面，对应页面再创建局部会话。
        else{
            $token = $this->session->userdata("token");
            if($token&&$url) {
                $this->input->set_cookie("token",$token,3600,Domain_Sub);
                locationUrl($url,array());
            }
        }
    }

4.token校验

  //zhw 20190326 token验证是否有效
    public function check_login_token(){
        $token = $this->method_post_value("token");
        $url = $this->method_get_value("url");
        $user_info = Jwt_tools::login_token_decode($token);
        //获取到用户信息，如果用户信息正确，则说明token是有效的，过期的token是无效的
        if($user_info){
            //todo 将url存储起来 实现单点注销
            echo 1;
            exit();
        }
        echo 0;
        exit();
    }

以上是本次系统实现的单点登录，单点注销。

一：

其中还可以使用Redis Memcached 等方式记录SESSION，数据库用户表需要记录用户的SESSION_ID，通过SESSION_ID获取到SESSION 无论在哪个站点登录，都只需要使用同一套的SESSION，是很可观的，而且也支持跨域站点。COOKIE存在局限性

针对www.cc.xx www.xx.aa 这样的站点本次系统是不能实现单点登录，单点注销，但是使用Redis Memcached就可以。

二：

在本次系统上，如果单点注销是用过认证服务器带着每一个站点的SESSION_ID 访问退出登录的接口是可行的，但是服务器就需要存储每一个用户的所有站点SESSION_ID信息，然后每一个都发送注销请求，可能对服务器压力比较大。如有不足，请多多指教。萌新一枚