单点登录（Single Sign-On, SSO）是一种身份验证机制，允许用户在多个应用系统中只登录一次，就能够访问所有受保护的系统或服务，而无需重复登录。SSO通过集中式认证来简化用户的登录体验，提高安全性，并减少管理复杂性。

一、原理

SSO的核心原理是通过一个认证中心（Identity Provider, IdP）来统一管理用户的身份认证。用户只需要在认证中心登录一次，认证中心会生成一个身份令牌（如cookie、JWT等），并将其传递到其他受信任的应用系统中，应用系统根据这个令牌判断用户是否已经登录。

二、SSO流程

①用户访问应用A：

• 用户第一次访问一个受保护的应用（例如应用A），此时应用A检测到用户没有登录。

②重定向到身份提供者（IdP）进行认证：

• 应用A将用户请求重定向到身份提供者（IdP），请求进行身份验证。IdP通常是一个集中式认证服务器。

③用户在身份提供者处进行认证：

• 用户在IdP处输入用户名和密码进行身份验证。
• 如果身份验证成功，IdP会生成一个认证令牌（比如一个cookie或JWT）。

④用户返回应用A并附带令牌：

• 身份验证成功后，用户将带着认证令牌返回应用A，应用A从令牌中获取用户信息并授权访问。
• 应用A验证令牌的合法性，如有效期、签名等。

⑤单点登录后访问其他应用：

• 用户访问其他应用B时，应用B会检查用户是否已经登录。如果没有，应用B会将请求重定向到IdP进行认证。
• 如果用户已经在IdP处登录过，IdP会直接返回认证令牌，应用B无需再次要求用户输入密码，用户可以直接访问。

⑥登出操作：

• 当用户登出时，IdP和所有受信任的应用可以同步注销，确保用户退出所有系统。

三、SSO的优点

①用户体验：用户只需登录一次，后续访问不同系统无需重复登录。

②集中管理：身份认证由统一的认证中心处理，简化了用户身份管理。

③安全性：集中式认证可以应用更强的安全措施（如多因素认证），减少密码泄露风险。

④成本效益：减少了维护多个系统认证的复杂度。

四、常见的SSO协议

①SAML（Security Assertion Markup Language）：常用于企业级应用的单点登录协议，基于XML。

②OAuth 2.0：广泛用于移动应用和Web应用的授权协议，允许第三方应用访问资源而不需要用户的密码。

③OpenID Connect：建立在OAuth 2.0协议上的身份认证协议，专门用于用户认证。

五、总结

单点登录通过集中式认证解决了用户在多个应用中频繁登录的问题，简化了管理并提高了安全性。它通过认证中心生成身份令牌，让用户在多个应用中共享登录状态，减少重复身份验证的工作。