单点登录设计

使用独立的单点登录应用程序来做单点登录，这样可扩展性和安全性会更好。

1：用户访问App1的某个URL，App1通过cookie（必须加密）去单点登录服务器验证当前用户是否已经登录，如果没有登录，则跳转到单点登录应用的登录页面，并传递用户访问的URL。
2：用户提交用户名和密码，单点登录应用验证登录成功后跳转回App1,并传递token和sign(用于防止token被篡改)。
3：App1将返回的token和sign通过接口去单点登录应用进行验证，如果验证成功跳转用户访问的URL。
4：用户退出App1，清空登录验证的cookie。

那么即使新增一个app2或app3，照样可以支持单点登录。以下是单点登录的流程图：

评论

4 楼 fantasy 2012-06-11  

ujnlu 写道

cookie方式不是很好吧 首先是如果客户端禁止cookie怎么办
其次cookie的失效日期是怎么控制的，比方说有些用户是在网吧里的 有些用户是自己的电脑。
记录在公用电脑里的cookie如果没有被清除的话会不会有风险？

不用cookie那用什么呢？
cookie一般设置成24小时后失效。
没有被清除不会有风险，因为cookie是加密的。

3 楼 ujnlu 2012-02-22  

cookie方式不是很好吧 首先是如果客户端禁止cookie怎么办
其次cookie的失效日期是怎么控制的，比方说有些用户是在网吧里的 有些用户是自己的电脑。
记录在公用电脑里的cookie如果没有被清除的话会不会有风险？

2 楼 fantasy 2012-02-22  

ujnlu 写道

1 能不能使用session
2 第二步中登录成功后为什么不直接跳转URL，而要返回app1通过app1再跳转？

1: 可以使用session。
2: 如果直接跳转到URL，那么每次访问页面都得去单点登录应用做验证。
   如果跳回到App1可以得知当前用户是否验证成功，并在App1记录当前用户的Cookie，下次访问的时候App1可以自己来做验证。

1 楼 ujnlu 2012-02-22  

1 能不能使用session
2 第二步中登录成功后为什么不直接跳转URL，而要返回app1通过app1再跳转？