SSO（ Single Sign On ），即單點登入，是一種控制多個相關但彼此獨立的系統的訪問許可權, 擁有這一許可權的使用者可以使用單一的ID和密碼訪問某個或多個系統從而避免使用不同的使用者名稱或密碼，或者通過某種配置無縫地登入每個系統 。

對於大型系統來說使用單點登入可以減少使用者很多的麻煩。就拿百度來說吧，百度下面有很多的子系統——百度經驗、百度知道、百度文庫等等，如果我們使用這些系統的時候，每一個系統都需要我們輸入使用者名稱和密碼登入一次的話，我相信使用者體驗肯定會直線下降。

與 SSO 互動的2個元素：1. 使用者，2. 系統，它的特點是：一次登入，全部訪問。SSO 是訪問控制的一種，控制使用者能否登入，即驗證使用者身份，而且是所有其它系統的身份驗證都在它這裡進行，從整個系統層面來看 SSO ，它的核心就是這3個元素了：1. 使用者，2. 系統，3. 驗證中心。

1、同一個域但不同的子域如何進行單點登入

假如我們的站點是按照下面的域名進行部署的：
sub1.onmpw.com
sub2.onmpw.com

這兩個站點共享同一域 onmpw.com 。

預設情況下，瀏覽器會發送 cookie 所屬的域對應的主機。也就是說，來自於 sub1.onmpw.com 的 cookie 預設所屬的域是 .sub1.onmpw.com 。因此，sub2.onmpw.com 不會得到任何的屬於 sub1.onmpw.com 的 cookie 資訊。因為它們是在不同的主機上面，並且二者的子域也是不同的。

1.1 設定二者的 cookie 資訊在同一個域下

• 登入 sub1.onmpw.com 系統
• 登入成功以後，生成唯一識別符號Token（知道token，就知道哪個使用者登入了）。設定 cookie 資訊，這裡需要注意，將Token存到 cookie 中，但是在設定的時候必須將這 cookie 的所屬域設定為頂級域 .onmpw.com 。這裡可以使用 setcookie 函式，該函式的第四個引數是用來設定 cookie 所述域的。

setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);

• 訪問 sub2.onmpw.com 系統，瀏覽器會將 cookie 中的資訊 token 附帶在請求中一塊兒傳送到 sub2.onmpw.com 系統。這時該系統會先檢查 session 是否登入，如果沒有登入則驗證 cookie 中的 token 從而實現自動登入。

• sub2.onmpw.com 登入成功以後再寫 session 資訊。以後的驗證就用自己的 session 資訊驗證就可以了。

1.2 退出登入

這裡存在一個問題就是 sub1 系統退出以後，除了可以清除自身的 session 資訊和所屬域為 .onmpw.com 的 cookie 的資訊。它並不能清除 sub2 系統的 session 資訊。那 sub2 仍然是登入狀態。也就是說，這種方式雖說可以實現單點登入，但是不能實現同時退出。原因是，sub1 和 sub2 雖說通過 setcookie 函式的設定可以共享 cookie，但是二者的sessionId 是不同的，而且這個 sessionId 在瀏覽器中也是以 cookie 的形式儲存的，不過它所屬的域並不是 .onmpw.com 。

那如何解決這個問題呢？我們知道，對於這種情況，只要是兩個系統的 sessionId 相同就可以解決這個問題了。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com 。在PHP中，sessionId 是在 session_start() 呼叫以後生成的。要想使sub1 和 sub2 有共同的 sessionId ，那必須在 session_start() 之前設定 sessionId 所屬域：

ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.onmpw.com');
ini_set('session.cookie_lifetime', '0');

1、經過上面的步驟就可以實現不同二級域名的單點登入與退出。
2、不過還可以再簡化，如確保 sessionId 相同就可以實現不同二級域名的單點登入與退出。
參考文章： https://www.onmpw.com/tm/xwzj/network_145.html

2、不同域之間如何實現單點登入

假設我們需要在以下這些站之間實現單點登入

www.onmpw1.com
www.onmpw2.com
www.onmpw3.com

上面的方案就行不通了。

目前 github 上有開源的 SSO 解決方案，實現原理與主流 SSO 差不多：
https://github.com/jasny/sso
wiki
demo

核心原理：
1、客戶端訪問不同的子系統，子系統對應的 SSO 使用者服務中心使用相同的 SessionId。
2、子系統 Broker 與 Server 間通過 attach 進行了授權連結繫結

同根域名不指定 domain 根域名，第一次授權需要每次都要跳轉到授權服務，但是指定了domain, 同根域名只要有一個授權成功，都可以共用那個 cookie 了，下次就不用再授權了，直接就可以請求使用者資訊了。

第一次訪問A：

第二次訪問B：

2.1 登入狀態判斷

使用者到認證中心登入後，使用者和認證中心之間建立起了會話，我們把這個會話稱為全域性會話。當用戶後續訪問系統應用時，我們不可能每次應用請求都到認證中心去判定是否登入，這樣效率非常低下，這也是單Web應用不需要考慮的。

我們可以在系統應用和使用者瀏覽器之間建立起區域性會話，區域性會話保持了客戶端與該系統應用的登入狀態，區域性會話依附於全域性會話存在，全域性會話消失，區域性會話必須消失。

使用者訪問應用時，首先判斷區域性會話是否存在，如存在，即認為是登入狀態，無需再到認證中心去判斷。如不存在，就重定向到認證中心判斷全域性會話是否存在，如存在，通知該應用，該應用與客戶端就建立起它們之間區域性會話，下次請求該應用，就不去認證中心驗證了。

2.2 退出

使用者在一個系統退出了，訪問其它子系統，也應該是退出狀態。要想做到這一點，應用除結束本地區域性會話外，還應該通知認證中心該使用者退出。

認證中心接到退出通知，即可結束全域性會話，使用者訪問其它應用時，都顯示已登出狀態。

需不需要立即通知所有已建立區域性會話的子系統，將它們的區域性會話銷燬，可根據實際專案來。