SSO是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。那么在PHP中要如何實現(xiàn)SSO單點登錄呢？下面本篇文章給大家詳細介紹一下單點登錄SSO的實現(xiàn)方式。

SSO（ Single Sign On ），即單點登錄，是一種控制多個相關但彼此獨立的系統(tǒng)的訪問權限, 擁有這一權限的用戶可以使用單一的ID和密碼訪問某個或多個系統(tǒng)從而避免使用不同的用戶名或密碼，或者通過某種配置無縫地登錄每個系統(tǒng) 。

對于大型系統(tǒng)來說使用單點登錄可以減少用戶很多的麻煩。就拿百度來說吧，百度下面有很多的子系統(tǒng)——百度經(jīng)驗、百度知道、百度文庫等等，如果我們使用這些系統(tǒng)的時候，每一個系統(tǒng)都需要我們輸入用戶名和密碼登錄一次的話，我相信用戶體驗肯定會直線下降。

與 SSO 交互的2個元素：1. 用戶，2. 系統(tǒng)，它的特點是：一次登錄，全部訪問。SSO 是訪問控制的一種，控制用戶能否登錄，即驗證用戶身份，而且是所有其它系統(tǒng)的身份驗證都在它這里進行，從整個系統(tǒng)層面來看 SSO ，它的核心就是這3個元素了：1. 用戶，2. 系統(tǒng)，3. 驗證中心。

1、同一個域但不同的子域如何進行單點登錄

假如我們的站點是按照下面的域名進行部署的：

• sub1.onmpw.com
• sub2.onmpw.com

這兩個站點共享同一域 onmpw.com 。

默認情況下，瀏覽器會發(fā)送 cookie 所屬的域對應的主機。也就是說，來自于 sub1.onmpw.com 的 cookie 默認所屬的域是 .sub1.onmpw.com 。因此，sub2.onmpw.com 不會得到任何的屬于 sub1.onmpw.com 的 cookie 信息。因為它們是在不同的主機上面，并且二者的子域也是不同的。

1.1 設置二者的 cookie 信息在同一個域下

• 登錄 sub1.onmpw.com 系統(tǒng)
• 登錄成功以后，生成唯一標識符Token（知道token，就知道哪個用戶登錄了）。設置 cookie 信息，這里需要注意，將Token存到 cookie 中，但是在設置的時候必須將這 cookie 的所屬域設置為頂級域 .onmpw.com 。這里可以使用 setcookie 函數(shù)，該函數(shù)的第四個參數(shù)是用來設置 cookie 所述域的。

setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);復制代碼

• 訪問 sub2.onmpw.com 系統(tǒng)，瀏覽器會將 cookie 中的信息 token 附帶在請求中一塊兒發(fā)送到 sub2.onmpw.com 系統(tǒng)。這時該系統(tǒng)會先檢查 session 是否登錄，如果沒有登錄則驗證 cookie 中的 token 從而實現(xiàn)自動登錄。

• sub2.onmpw.com 登錄成功以后再寫 session 信息。以后的驗證就用自己的 session 信息驗證就可以了。

1.2 退出登錄

這里存在一個問題就是 sub1 系統(tǒng)退出以后，除了可以清除自身的 session 信息和所屬域為 .onmpw.com 的 cookie 的信息。它并不能清除 sub2 系統(tǒng)的 session 信息。那 sub2 仍然是登錄狀態(tài)。也就是說，這種方式雖說可以實現(xiàn)單點登錄，但是不能實現(xiàn)同時退出。原因是，sub1 和 sub2 雖說通過 setcookie 函數(shù)的設置可以共享 cookie，但是二者的sessionId 是不同的，而且這個 sessionId 在瀏覽器中也是以 cookie 的形式存儲的，不過它所屬的域并不是 .onmpw.com 。

那如何解決這個問題呢？我們知道，對于這種情況，只要是兩個系統(tǒng)的 sessionId 相同就可以解決這個問題了。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com 。在PHP中，sessionId 是在 session_start() 調(diào)用以后生成的。要想使sub1 和 sub2 有共同的 sessionId ，那必須在 session_start() 之前設置 sessionId 所屬域：

ini_set('session.cookie_path', '/'); ini_set('session.cookie_domain', '.onmpw.com'); ini_set('session.cookie_lifetime', '0');復制代碼

• 1、經(jīng)過上面的步驟就可以實現(xiàn)不同二級域名的單點登錄與退出。
• 2、不過還可以再簡化，如確保 sessionId 相同就可以實現(xiàn)不同二級域名的單點登錄與退出。
• 參考文章： https://www.onmpw.com/tm/xwzj/network_145.html

2、不同域之間如何實現(xiàn)單點登錄 – CAS

假設我們需要在以下這些站之間實現(xiàn)單點登錄

• www.onmpw1.com
• www.onmpw2.com
• www.onmpw3.com

上面的方案就行不通了。

目前 github 上有開源的 SSO 解決方案，實現(xiàn)原理與主流 SSO 差不多：https://github.com/jasny/sso

核心原理：

• 1、客戶端訪問不同的子系統(tǒng)，子系統(tǒng)對應的 SSO 用戶服務中心使用相同的 SessionId。
• 2、子系統(tǒng) Broker 與 Server 間通過 attach 進行了授權鏈接綁定

同根域名不指定 domain 根域名，第一次授權需要每次都要跳轉到授權服務，但是指定了domain, 同根域名只要有一個授權成功，都可以共用那個 cookie 了，下次就不用再授權了，直接就可以請求用戶信息了。

第一次訪問A：

第二次訪問B：

2.1 登錄狀態(tài)判斷

用戶到認證中心登錄后，用戶和認證中心之間建立起了會話，我們把這個會話稱為全局會話。當用戶后續(xù)訪問系統(tǒng)應用時，我們不可能每次應用請求都到認證中心去判定是否登錄，這樣效率非常低下，這也是單Web應用不需要考慮的。

我們可以在系統(tǒng)應用和用戶瀏覽器之間建立起局部會話，局部會話保持了客戶端與該系統(tǒng)應用的登錄狀態(tài)，局部會話依附于全局會話存在，全局會話消失，局部會話必須消失。

用戶訪問應用時，首先判斷局部會話是否存在，如存在，即認為是登錄狀態(tài)，無需再到認證中心去判斷。如不存在，就重定向到認證中心判斷全局會話是否存在，如存在，通知該應用，該應用與客戶端就建立起它們之間局部會話，下次請求該應用，就不去認證中心驗證了。

2.2 退出

用戶在一個系統(tǒng)退出了，訪問其它子系統(tǒng)，也應該是退出狀態(tài)。要想做到這一點，應用除結束本地局部會話外，還應該通知認證中心該用戶退出。

認證中心接到退出通知，即可結束全局會話，用戶訪問其它應用時，都顯示已登出狀態(tài)。

需不需要立即通知所有已建立局部會話的子系統(tǒng)，將它們的局部會話銷毀，可根據(jù)實際項目來。

推薦學習：《PHP視頻教程》