BFE.devAI解答 - 前端面试问题
115. 什么是单点登录Single Sign-On? 如何实现?

单点登录Single Sign-On是一种用户认证和授权的技术，使用户可以使用一组凭据(例如用户名和密码)访问多个应用程序。其工作原理是用户只需登录一次，就可以访问其他相关应用程序的所有资源，而不必反复进行身份验证。

实现单点登录的基本思路是建立一个中心认证系统，其他系统向该系统发出认证请求，由认证系统对用户进行认证，并返回认证结果。具体实现方法有以下几种：

1. 基于Cookie的单点登录：用户需要登录一次认证系统，认证系统将在浏览器中设置一个Cookie，该Cookie包含用户的认证信息。其他系统在用户访问时，通过读取认证系统的Cookie验证用户身份。 优点：实现简单，无需修改客户端代码。 缺点：Cookie会暴露用户的认证信息，存在安全风险。

2. 基于Token的单点登录：用户登录认证系统，认证系统生成一个Token，其他系统在请求时携带该Token，认证系统验证Token后返回认证结果。 优点：相对于Cookie更加安全，Token可以进行加密和签名。 缺点：需要在客户端代码中实现Token的生成和验证。

3. 基于OAuth2的单点登录：OAuth2是一种授权协议，允许用户授权第三方应用程序访问受保护的资源。认证系统可以作为OAuth2的授权服务器，其他系统通过OAuth2协议获得访问令牌，认证系统验证令牌后返回认证结果。 优点：相对于Token更加安全，OAuth2协议已经被广泛使用。 缺点：需要客户端代码实现OAuth2协议，实现复杂度较高。

以上三种实现方式各有优缺点，具体选择要根据实际需求和安全要求进行综合考虑。