最小代价的 SSO 单点登录方案

现在有多个 WebApp，想用最小的代价实现 SSO 单点登录。所谓最小代价，我的理解就是对原有 WebApp 的改动最小，因此

• 在旁路增加一个 SsoWebApp 用于管理 SSO 的账号，进行身份认证后实现跳转原有 WebApp；
• 保留原有 WebApp 登录方式不做修改，增加一个单独的 sso 登录接口实现从 Ssoweb App 跳转登录。

具体的登录流程如下：
用户首先在 SsoWebApp 中完成登录，再通过链接清单，选择要跳转的目标 WebApp 的 sso 接口，为方便通过超级链接跳转，建议这个接口使用 GET 方式，当然要用 POST 方式也是可以的。
跳转链接示例

 http://WebApp1/sso?token=eyJ1aWQiOiIxMjM0NTYiLCAiZXhwaXJlIjoiMjAyMjA3MTUiLCAic2FsdCI6IjlENDdDRTI3LTU1MzEtNDRENS05QUUxLTVEMUQ3OUU2QUZFOCJ9

这里 token 的明码采用 json 描述

{
    "uid":"123456",             //用户账号
    "expire":"20220715235900",     //token 有效期
    "salt":"9D47CE27-5531-44D5-9AE1-5D1D79E6AFE8" //其他数据
}

为防止 token 被纂改，可使用 RSA 私钥签名后 Base64 编码。

当 WebApp 的 sso 接口接收 token 后调用 SsoWebApp 的公钥解密方法还原出 json 进行判断

if (当前WebApp内存在(uid) && expire >= 当前时刻)
  调用 WebApp 自己的登录验证方式，完成对 uid 的身份认证，进行正常的页面跳转
end if

要实现以上登录流程，旁路的 SsoWebApp 需要实现

1. 用户账户的 CURD UI， 关键字段 uid, password
2. 用户账户下 SSO 记录的 CURD UI，关键字段 uid, appName, ssoUrl
3. 用户登录 UI 和显示可用 SSO 站点列表 UI（跳转链接）
4. WebAPI 接口，提供公钥解密方法

以上 SSO 登录方案存在的一个不足，是用户在 SsoWebApp 的退出操作无法联动 WebApp 退出，反之亦然。

因为要实现登出联动，不可避免地需要改造 WebApp 的原有登出接口，可以实现只不过需要花费额外的代价了。