单点登录系统SSO原理及流程

 假设现在有两个应用App1和app2，用户已经登录了App1，需要跳转或者直接访问App2中的功能页面。

App1的访问地址为:http://192.168.1.100/app1/；App2的访问地址为：http://192.168.1.101/app2/，需要访问App2的页面为http://192.168.101/app2/action2.action

 

1、App1组织请求登录app2的请求参数及路径

1.1、假设用户已经登录了App1，用户需要访问App2的页面，先将跳转(外部访问)请求发送给App1的ssoURLRequestServlet，如上图中的环节①。
请求的URL为：http://192.168.1.100/app1/ssoURLRequest?app=app2&url=action2.action

 

 1.2、App1根据ssoURLRequest获取URL信息获取跳转的目标应用为App2，地址为action2.action（相对地址），并根据App2找到该应用的其它信息，比如：应用首页路径，IP地址，context path 等信息，组成访问App2功能页面的绝对路径以及进行SSO登录校验的绝对路径。

 

2、App1将用户信息发送App2请求生成凭证： App1的ssoURLRequest获取当前登录用户id（比如工号，保持和app2的相关信息一致），将：用户id+app2+sessionId+uuid 数据经过加密生成Token1凭证，并将凭证信息保存到缓存中(内存，集中缓存或者数据库)，发送给App2，请求App2生成登录App2的凭证，请求地址为：http://192.168.1.101/app2/tokenGenerat，如上图中的环节②。

 

3、App2去App1校验凭证，并返回app2凭证：App2接收到生成校验信息请求之后，获取App1发送过来的Token1凭证，请求App1的http://192.168.1.100/app1/tokenValidate，校验Token1是否有效，如上图中的环节③。

如果有效，则生成登录App2凭证信（Token2），并将凭证信息保存到缓存中(内存，集中缓存或者数据库)，同时将凭证信息加密后返回给App1的ssoURLRequestServlet。

 

4、App1通过凭证页面跳转App2：App1的ssoURLRequestServlet接受到App1返回的登录凭证信息后，将凭证信息返回给发送跳转（访问App2）请求的浏览器，并返回浏览器跳转的脚本，浏览器携带登录凭证信息（密文）跳转至App2，如上图中的环节④。

 

5、 App2验证凭证有效，成功登录：App2接收到带有登录凭证的请求后，将凭证信息解密，并校验该凭证信息是否有效，若有效，则根据解密后的凭证信息转换为用户登录信息并保存到session中（或者其他地方），至此实现登录App2，在整个过程中用户不需要输入App2的登录信息就实现了登录App2，如上图中的环节⑤