单点登录SSO登录你了解多少

单点登录（SSO，Single Sign-On）我非常了解。这在现代企业级应用和大型互联网系统中是一个非常核心的身份认证机制。简单来说，它的核心价值就是：一次登录，处处通行。

为了让你更全面地理解，我将从核心概念、工作原理、主流实现方式以及安全最佳实践这几个维度为你详细拆解。

想象一下你在公司工作，需要使用 OA 系统、财务系统、CRM 系统。如果没有 SSO，你每打开一个系统都要输入一次账号密码，这不仅繁琐，而且密码多了容易记混或泄露。

SSO 的定义

SSO 是一种身份认证机制，允许用户在多个相互信任的应用系统中，只需登录一次，即可访问所有关联系统，无需重复输入凭证。

它解决的核心痛点

维度	传统登录	SSO 登录
用户体验	每次切换系统都要重新登录，体验割裂	只需登录一次，系统间无缝切换
安全性	用户可能为了省事在多个系统用同一密码，一旦一处泄露处处危险	集中管理认证，便于实施统一的强密码策略或多因素认证
管理维护	账号分散，员工离职需要在每个系统单独禁用	账号集中管理，一处注销，全网失效

SSO 的本质是将认证逻辑抽离出来，交给一个独立的"认证中心"来处理。

我们可以把它理解为"小区门禁"

具体的流程拆解如下：

访问应用：用户访问系统 A，系统 A 检查发现用户没有本地登录凭证。
重定向到认证中心：系统 A 将用户重定向到统一的认证中心（IdP）。
身份认证 ：用户在认证中心输入账号密码。认证中心验证通过后，创建全局会话 ，并生成一个加密的令牌。
携带令牌返回：认证中心将令牌通过 URL 参数或 Cookie 带回给系统 A。
验证与建立局部会话 ：系统 A 拿到令牌去认证中心验证（或自己解析），确认有效后，在本地创建局部会话，用户成功登录。
访问其他系统 ：当用户去访问系统 B 时，再次被重定向到认证中心。此时认证中心发现用户浏览器里已经有"全局会话"了，于是直接给系统 B 发令牌，无需用户再次输入密码16。

很多人容易把 SSO 和 OAuth 2.0 搞混，其实它们解决的问题是不一样的，但经常一起使用：

SSO（单点登录） ：关注的是**"我是谁"**（Authentication，认证）。目标是让用户一次登录，访问多个系统。
OAuth 2.0 ：关注的是**"我能做什么"**（Authorization，授权）。目标是让第三方应用在不拿到你密码的情况下，访问你的资源（比如"用微信登录知乎"，知乎只能拿到你的头像昵称，拿不到你的微信密码，也不能以你的名义发朋友圈）。

在实际开发中，我们经常使用 OAuth 2.0 + OpenID Connect 的组合来实现 SSO 效果。OpenID Connect 是建立在 OAuth 2.0 之上的身份认证层。

根据不同的业务场景，技术选型也有所不同：

虽然 SSO 很方便，但因为它是所有系统的入口，一旦被攻破后果严重。因此，在实施 SSO 时，通常会遵循以下最佳实践：

总结一下：

SSO 不仅仅是一个技术方案，它更是一种提升用户体验和加强安全管理的手段。对于开发者来说，理解 SSO 的原理（全局会话与局部会话）以及熟悉 OAuth 2.0 / JWT 等实现方式是非常有必要的。