写过单点登陆的老哥有几个问题想请教一下。

資深大佬 : dapengzhao 68

场景： 1.公司内部的几个系统需要把登陆弄成单点登陆。大概就是系统 A 登陆了，再去 B，C 也是登陆状态 2.网站都是用 django 写的 3.不同用户在不同网站的权限不统一

看了 cas 的工作原理，大概明白了使用认证中心去统一管理的思路。但是也有几个问题不同系统的注册和修改密码该怎么实现？因为不同的系统在不同的服务器上也有自己的用户表。总结一下就是不知道这些系统的用户表应该在什么地方，怎么统一管理？

大佬有話說 (9)

資深大佬 : burgleaf

最好把用户鉴权体系抽成一个系统，A,B,C 三个系统登录都会到 O 这个系统去鉴权，鉴完权后在分别在三个系统写一个 session 即可。

資深大佬 : biantaoGG

这不是单点登录吧……单点登录不是多设备登录会把之前设备上的给踢下线么…

資深大佬 : biantaoGG

@biantaoGG 好吧我孤陋寡闻了…原来单点登录不是我想的这样

資深大佬 : cccy0

这不是单点登录啊, 这种可以先确定一个唯一的用户 id, 然后再把 session id 或者 jwt 统一管理起来

資深大佬 : tanranran

jwt 了解一下

資深大佬 : romisanic

既然都单点了
用户的管理当然也要放一块去，注册、修改密码的地方都统一成一个啊
各个业务系统没必要自己再去维护一套用户数据了

資深大佬 : crclz

单点登录：
用户想要凭借在 A 站点登记的的身份访问 B 站点，那么得先去 A 站点请求一个 token，建议用 JWT 形式 jwt.io 。
拿到这个 token 后，用户将这个 token 给 B 站点。至于怎么给，可以是 A 站点跳转到 B 站点的同时附带一个 token 在 query 里面（?token=xxx ），或者 post 同时跳转到 B （不知道前端能不能跨域 post+跳转）。

这个 token 附带该用户在 A 站点登记的信息，比如 id。B 站点用这个 id 来区分用户的身份。

B 站点怎么确认这个 token 的合法性？因为这个 token 是用户传递给 B 的，所以会被伪造。所以 token 里面还要附带签名（这也是 jwt 的标准）。同时 B 也要有 A 的公钥。2) 也可以 B 向 A 发起查询，但是会有网络和磁盘开销。

万一用户修改密码怎么办？一个解决方案是 A 在 token 里面加上过期时间（这也是 jwt 标准）。过期后，用户将 token 传递给 B，B 发现过期，所以让用户重新去 A 站点，重新输入密码，重新请求 token。
还可以用 B 向 A 发起查询的方式，每个请求都查询一遍。或者当用户在 A 系统修改密码时，A 向 B 推送废除 token 的消息。这类设计的安全系数高，消除了不一致窗口（窗口长度<=token 过期时间），但是开发难度大，并且提高了系统的耦合程度。

資深大佬 : InkAndBanner

感谢上涨知识了

資深大佬 : ss0070

用户表集中到 cas 呗，如果想各个系统单配权限，那就同步用户表到各个系统进行权限配置，或者是 cas 返回信息的时候把集中权限返回给对应的系统