SSO即單點登錄，是一種控制多個相關但彼此獨立的系統的訪問權限, 擁有這一權限的用戶可以使用單一的ID和密碼訪問某個或多個系統從而避免使用不同的用戶名或密碼，或者通過某種配置無縫地登錄每個系統 。

對于大型系統來說使用單點登錄可以減少用戶很多的麻煩。就拿百度來說吧，百度下面有很多的子系統——百度經驗、百度知道、百度文庫等等，如果我們使用這些系統的時候，每一個系統都需要我們輸入用戶名和密碼登錄一次的話，我相信用戶體驗肯定會直線下降。

與 SSO 交互的2個元素：1. 用戶，2. 系統，它的特點是：一次登錄，全部訪問。SSO 是訪問控制的一種，控制用戶能否登錄，即驗證用戶身份，而且是所有其它系統的身份驗證都在它這里進行，從整個系統層面來看 SSO ，它的核心就是這3個元素了：1. 用戶，2. 系統，3. 驗證中心。

假如我們的站點是按照下面的域名進行部署的：
sub1.onmpw.com
sub2.onmpw.com

這兩個站點共享同一域 onmpw.com 。

默認情況下，瀏覽器會發送 cookie 所屬的域對應的主機。也就是說，來自于 sub1.onmpw.com 的 cookie 默認所屬的域是 .sub1.onmpw.com 。因此，sub2.onmpw.com 不會得到任何的屬于 sub1.onmpw.com 的 cookie 信息。因為它們是在不同的主機上面，并且二者的子域也是不同的。

• 登錄 sub1.onmpw.com 系統

• 登錄成功以后，生成唯一標識符Token（知道token，就知道哪個用戶登錄了）。設置 cookie 信息，這里需要注意，將Token存到 cookie 中，但是在設置的時候必須將這 cookie 的所屬域設置為頂級域 .onmpw.com 。這里可以使用 setcookie 函數，該函數的第四個參數是用來設置 cookie 所述域的。

setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);

• 訪問 sub2.onmpw.com 系統，瀏覽器會將 cookie 中的信息 token 附帶在請求中一塊兒發送到 sub2.onmpw.com 系統。這時該系統會先檢查 session 是否登錄，如果沒有登錄則驗證 cookie 中的 token 從而實現自動登錄。

• sub2.onmpw.com 登錄成功以后再寫 session 信息。以后的驗證就用自己的 session 信息驗證就可以了。

這里存在一個問題就是 sub1 系統退出以后，除了可以清除自身的 session 信息和所屬域為 .onmpw.com 的 cookie 的信息。它并不能清除 sub2 系統的 session 信息。那 sub2 仍然是登錄狀態。也就是說，這種方式雖說可以實現單點登錄，但是不能實現同時退出。原因是，sub1 和 sub2 雖說通過 setcookie 函數的設置可以共享 cookie，但是二者的sessionId 是不同的，而且這個 sessionId 在瀏覽器中也是以 cookie 的形式存儲的，不過它所屬的域并不是 .onmpw.com 。

那如何解決這個問題呢？我們知道，對于這種情況，只要是兩個系統的 sessionId 相同就可以解決這個問題了。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com 。在PHP中，sessionId 是在 session_start() 調用以后生成的。要想使sub1 和 sub2 有共同的 sessionId ，那必須在 session_start() 之前設置 sessionId 所屬域：

ini_set('session.cookie_path', '/');ini_set('session.cookie_domain', '.onmpw.com');ini_set('session.cookie_lifetime', '0');

1、經過上面的步驟就可以實現不同二級域名的單點登錄與退出。
2、不過還可以再簡化，如確保 sessionId 相同就可以實現不同二級域名的單點登錄與退出。
參考文章： https://www.onmpw.com/tm/xwzj/network_145.html

假設我們需要在以下這些站之間實現單點登錄

www.onmpw1.com
www.onmpw2.com
www.onmpw3.com

上面的方案就行不通了。

目前 github 上有開源的 SSO 解決方案，實現原理與主流 SSO 差不多：
https://github.com/jasny/sso
wiki
demo

核心原理：
1、客戶端訪問不同的子系統，子系統對應的 SSO 用戶服務中心使用相同的 SessionId。
2、子系統 Broker 與 Server 間通過 attach 進行了授權鏈接綁定

同根域名不指定 domain 根域名，第一次授權需要每次都要跳轉到授權服務，但是指定了domain, 同根域名只要有一個授權成功，都可以共用那個 cookie 了，下次就不用再授權了，直接就可以請求用戶信息了。

第一次訪問A：

第二次訪問B：

用戶到認證中心登錄后，用戶和認證中心之間建立起了會話，我們把這個會話稱為全局會話。當用戶后續訪問系統應用時，我們不可能每次應用請求都到認證中心去判定是否登錄，這樣效率非常低下，這也是單Web應用不需要考慮的。

我們可以在系統應用和用戶瀏覽器之間建立起局部會話，局部會話保持了客戶端與該系統應用的登錄狀態，局部會話依附于全局會話存在，全局會話消失，局部會話必須消失。

用戶訪問應用時，首先判斷局部會話是否存在，如存在，即認為是登錄狀態，無需再到認證中心去判斷。如不存在，就重定向到認證中心判斷全局會話是否存在，如存在，通知該應用，該應用與客戶端就建立起它們之間局部會話，下次請求該應用，就不去認證中心驗證了。

用戶在一個系統退出了，訪問其它子系統，也應該是退出狀態。要想做到這一點，應用除結束本地局部會話外，還應該通知認證中心該用戶退出。

認證中心接到退出通知，即可結束全局會話，用戶訪問其它應用時，都顯示已登出狀態。

需不需要立即通知所有已建立局部會話的子系統，將它們的局部會話銷毀，可根據實際項目來。

SSO（ Single Sign On ），即單點登錄，是一種控制多個相關但彼此獨立的系統的訪問權限, 擁有這一權限的用戶可以使用單一的ID和密碼訪問某個或多個系統從而避免使用不同的用戶名或密碼，或者通過某種配置無縫地登錄每個系統 。

對于大型系統來說使用單點登錄可以減少用戶很多的麻煩。就拿百度來說吧，百度下面有很多的子系統——百度經驗、百度知道、百度文庫等等，如果我們使用這些系統的時候，每一個系統都需要我們輸入用戶名和密碼登錄一次的話，我相信用戶體驗肯定會直線下降。

與 SSO 交互的2個元素：1. 用戶，2. 系統，它的特點是：一次登錄，全部訪問。SSO 是訪問控制的一種，控制用戶能否登錄，即驗證用戶身份，而且是所有其它系統的身份驗證都在它這里進行，從整個系統層面來看 SSO ，它的核心就是這3個元素了：1. 用戶，2. 系統，3. 驗證中心。

假如我們的站點是按照下面的域名進行部署的：
sub1.onmpw.com
sub2.onmpw.com

這兩個站點共享同一域 onmpw.com 。

默認情況下，瀏覽器會發送 cookie 所屬的域對應的主機。也就是說，來自于 sub1.onmpw.com 的 cookie 默認所屬的域是 .sub1.onmpw.com 。因此，sub2.onmpw.com 不會得到任何的屬于 sub1.onmpw.com 的 cookie 信息。因為它們是在不同的主機上面，并且二者的子域也是不同的。

• 登錄 sub1.onmpw.com 系統

• 登錄成功以后，生成唯一標識符Token（知道token，就知道哪個用戶登錄了）。設置 cookie 信息，這里需要注意，將Token存到 cookie 中，但是在設置的時候必須將這 cookie 的所屬域設置為頂級域 .onmpw.com 。這里可以使用 setcookie 函數，該函數的第四個參數是用來設置 cookie 所述域的。

setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);

• 訪問 sub2.onmpw.com 系統，瀏覽器會將 cookie 中的信息 token 附帶在請求中一塊兒發送到 sub2.onmpw.com 系統。這時該系統會先檢查 session 是否登錄，如果沒有登錄則驗證 cookie 中的 token 從而實現自動登錄。

• sub2.onmpw.com 登錄成功以后再寫 session 信息。以后的驗證就用自己的 session 信息驗證就可以了。

這里存在一個問題就是 sub1 系統退出以后，除了可以清除自身的 session 信息和所屬域為 .onmpw.com 的 cookie 的信息。它并不能清除 sub2 系統的 session 信息。那 sub2 仍然是登錄狀態。也就是說，這種方式雖說可以實現單點登錄，但是不能實現同時退出。原因是，sub1 和 sub2 雖說通過 setcookie 函數的設置可以共享 cookie，但是二者的sessionId 是不同的，而且這個 sessionId 在瀏覽器中也是以 cookie 的形式存儲的，不過它所屬的域并不是 .onmpw.com 。

那如何解決這個問題呢？我們知道，對于這種情況，只要是兩個系統的 sessionId 相同就可以解決這個問題了。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com 。在PHP中，sessionId 是在 session_start() 調用以后生成的。要想使sub1 和 sub2 有共同的 sessionId ，那必須在 session_start() 之前設置 sessionId 所屬域：

ini_set('session.cookie_path', '/');ini_set('session.cookie_domain', '.onmpw.com');ini_set('session.cookie_lifetime', '0');

1、經過上面的步驟就可以實現不同二級域名的單點登錄與退出。
2、不過還可以再簡化，如確保 sessionId 相同就可以實現不同二級域名的單點登錄與退出。
參考文章： https://www.onmpw.com/tm/xwzj/network_145.html

假設我們需要在以下這些站之間實現單點登錄

www.onmpw1.com
www.onmpw2.com
www.onmpw3.com

上面的方案就行不通了。

目前 github 上有開源的 SSO 解決方案，實現原理與主流 SSO 差不多：
https://github.com/jasny/sso
wiki
demo

核心原理：
1、客戶端訪問不同的子系統，子系統對應的 SSO 用戶服務中心使用相同的 SessionId。
2、子系統 Broker 與 Server 間通過 attach 進行了授權鏈接綁定

同根域名不指定 domain 根域名，第一次授權需要每次都要跳轉到授權服務，但是指定了domain, 同根域名只要有一個授權成功，都可以共用那個 cookie 了，下次就不用再授權了，直接就可以請求用戶信息了。

第一次訪問A：

第二次訪問B：

用戶到認證中心登錄后，用戶和認證中心之間建立起了會話，我們把這個會話稱為全局會話。當用戶后續訪問系統應用時，我們不可能每次應用請求都到認證中心去判定是否登錄，這樣效率非常低下，這也是單Web應用不需要考慮的。

我們可以在系統應用和用戶瀏覽器之間建立起局部會話，局部會話保持了客戶端與該系統應用的登錄狀態，局部會話依附于全局會話存在，全局會話消失，局部會話必須消失。

用戶訪問應用時，首先判斷局部會話是否存在，如存在，即認為是登錄狀態，無需再到認證中心去判斷。如不存在，就重定向到認證中心判斷全局會話是否存在，如存在，通知該應用，該應用與客戶端就建立起它們之間局部會話，下次請求該應用，就不去認證中心驗證了。

用戶在一個系統退出了，訪問其它子系統，也應該是退出狀態。要想做到這一點，應用除結束本地局部會話外，還應該通知認證中心該用戶退出。

認證中心接到退出通知，即可結束全局會話，用戶訪問其它應用時，都顯示已登出狀態。

需不需要立即通知所有已建立局部會話的子系統，將它們的局部會話銷毀，可根據實際項目來。

相關推薦：

實例講解SSO單點登錄原理

單點登錄原理和簡單實現

php實現的SSO單點登錄系統接入功能示例分析

以上就是PHP單點登錄SSO實現方法的詳細內容，更多請關注 其它相關文章！

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。