浅析单点登录，以及不同二级域名下的SSO实现

　　一家公司有多个产品线，就可能要有多个子域名，下头以baidu域名为例，a.baidu.com, b.baidu.com。com 是顶级域名，baidu 就是一个二级域名，a和b就是子域名。

当用户在a产品线上登录了系统，此时切换到b产品，为了增加用户体验，不必再让用户登录一次b。所以单点登录就出来了。

　　一般的实现就是增加一个passport.baidu.com，专门搞登录的中控服务。

　　当用户第一次登录 baidu域下，比如a产品。此时先跳转到passport下进行登录，登录成功以后，passport生成一个token,在session服务中插入登录信息，同时也将其种在cookie里，就放在 .baidu.com域下，当然这个token会和session中的登录信息有联系。

当用户登录b产品线时，检测cookie下这个token在passport的session服务中是否存在，如果存在就认为该用户已经登录过在线状态。

　　还有一种需要面对的情况，比如公司还有一个二级域名，举例 hao123.com，这下二级域名不一样了。跨域了，cookie就不能被passport直接拿到了。这怎么办呢？

　　可以这样处理，当用户第一次在passport下登录时，生成的这个token,  在passport下跨域去请求 hao123.com，让 hao123.com服务去把这个token种在自己域下cookie里。当用户登录成功 a产品以后，随后去访问了 hao123.com， hao123.com 域下的token被passport的session服务检测，发现ok，就返回给 hao123.com帐号信息。

　　以上的实现很容易当然也很粗糙，比如某一个产品线下用户的cookie被盗了，这个token被人用了，这个人就可以随意使用你的帐号在xxx下所有产品线浏览。

　　这就需要更安全的机制。各个产品线也有各自的token生成。

　　可以用浏览器观察下登录百度passport的现象：

　　chrome浏览器登录（在登录passport时，勾选保存log，避免请求日志刷新没了。搜索hao123关键字）。

　　发现这个跨域请求是利用图片的src属性，请求hao123站点。把加密的token发到hao123，hao123响应，setcookie把token放到hao123域下。（这里说的token即是百度的bduss）。