单点登录（SSO）原理

单点登录（SSO）原理及面试表达技巧

面试中如何介绍SSO概念

1. 从生活场景入手（给面试官留下好印象）

面试官您好，我想用一个生活化的例子来解释SSO。就像我们去游乐园一样，
传统模式下我们需要为每个项目单独买票、排队验证，用户体验很差。
而有了SSO，就像拥有了一张通票，只需要在入口验证一次身份，
就可以畅通无阻地游玩所有项目，这就是单点登录的核心思想。

2. 技术定义（展示专业性）

从技术角度来说，单点登录是一种身份验证机制，
允许用户使用一组凭证登录后，无需重复认证即可访问多个相关但独立的应用系统。

SSO核心原理详解

基本架构组件

// SSO系统通常包含三个核心组件：
// 1. 用户（User）
// 2. SSO认证服务器（SSO Server）
// 3. 受保护的应用系统（Service Providers）

工作流程

面试时可以这样描述流程：
1. 用户访问应用系统A
2. 系统A检查用户会话，发现未登录
3. 重定向用户到SSO认证服务器
4. 用户在SSO服务器输入凭证进行认证
5. SSO服务器验证通过，生成令牌并重定向回系统A
6. 系统A验证令牌有效性，建立用户会话
7. 用户访问系统B时，由于已有有效令牌，无需重复登录

常见SSO实现方案

1. 基于Cookie的同域SSO

// 简单同域SSO实现示例
// 在父域名下设置Cookie
document.cookie = "sso_token=abc123; domain=.example.com; path=/";// 各子系统检查Cookie中的令牌
function checkSSOToken() {const token = getCookie('sso_token');if (token) {// 验证令牌有效性validateToken(token);} else {// 重定向到登录页面redirectToLogin();}
}

2. CAS（Central Authentication Service）协议

面试时可以说：
CAS是最经典的SSO协议之一，采用票据验证方式。
用户访问服务时，如果未认证会重定向到CAS服务器，
认证成功后CAS服务器颁发Ticket，
用户携带Ticket访问目标服务，服务验证Ticket有效性。

3. OAuth 2.0/OpenID Connect

// JWT Token示例
const jwtToken = {header: {alg: "HS256",typ: "JWT"},payload: {sub: "user123",iss: "sso-server",exp: 1623456789,aud: "app1,app2,app3"  // 授权的应用列表},signature: "..."
};

面试回答技巧

1. 结构化表达

我通常从四个方面来理解SSO：
第一是核心概念 - 解决什么问题
第二是技术原理 - 如何实现
第三是实现方案 - 具体怎么做
第四是优缺点 - 实际应用考虑

2. 结合实际经验

在我参与的项目中，我们使用了基于JWT的SSO方案。
主要考虑是：
1. 无状态性 - 适合分布式部署
2. 跨域支持 - 我们的前端和后端部署在不同域
3. 标准化 - JWT是业界标准，便于集成第三方系统

3. 展示深度思考

在实际应用中，SSO也面临一些挑战：
- 安全性：认证中心成为单点故障，一旦被攻破影响所有系统
- 性能：认证中心的性能直接影响所有应用
- 复杂性：需要处理跨域、令牌同步等复杂问题
- 退出机制：如何实现单点退出所有系统

面试常见问题及回答

Q: SSO有什么优缺点？

优点：
1. 用户体验好 - 减少重复登录
2. 安全性提升 - 集中管理认证
3. 管理成本低 - 统一用户管理
4. 开发效率高 - 无需重复实现认证缺点：
1. 单点故障风险
2. 系统复杂度增加
3. 跨域处理复杂
4. 退出同步困难

Q: 如何实现单点退出？

// SSO退出机制示例
function ssoLogout() {// 1. 清除本地会话clearLocalSession();// 2. 通知SSO服务器fetch('/sso/logout', {method: 'POST',credentials: 'include'});// 3. 通知其他应用系统退出const apps = ['app1.com', 'app2.com', 'app3.com'];apps.forEach(app => {const iframe = document.createElement('iframe');iframe.src = `https://${app}/logout`;document.body.appendChild(iframe);setTimeout(() => document.body.removeChild(iframe), 1000);});
}

Q: JWT和Session的区别？

面试时可以这样回答：JWT：
- 无状态，服务端不需要存储会话信息
- 适合分布式和微服务架构
- 可以包含用户信息，减少数据库查询
- 令牌较大，每次请求都要携带Session：
- 服务端需要存储会话数据
- 适合单体应用
- 令牌小，性能好
- 需要处理Session共享问题

总结

面试时谈论SSO应该：

1. 由浅入深 - 从概念到实现
2. 理论结合实践 - 结合项目经验
3. 展示思考 - 不仅知道怎么做，还知道为什么这么做
4. 准备充分 - 对常见问题有准备答案
5. 表达清晰 - 逻辑清楚，语言流畅