單點登入（SSO）如何?？

現在有子系統
A，B
現在想要將其登入打通
有兩種方案
1 session共用
這個方案效率太低，極高耦合度，僅僅適用於單子系統內部使用
2 使用統一授信伺服器S
比如有一個每一個系統都需要的統一的ope id，子系統發現沒有openid或者openid不對時重新導向到授信伺服器S進行登入，S提供一個openid到cookie，讓各個子系統訪問。
子系統訪問有兩種方案（我認為）
主動式：每一次使用者訪問時向S檢測openid是否正確（就像單系統登入向本地session查詢一樣）。但是問題就是這種方案太慢，每一次都需要向S查詢一下。另外可以緩衝一下資訊到本地，但是這樣就沒有辦法同步登出了。。QAQ
被動式：S在登入後，給每個系統 使用者已登入 的訊息，登出後給每個系統 使用者已登出 的訊息。但是，這樣耦合度太高，另外如果伺服器太多，豈不是崩了。。
該如何權衡？
我希望能夠主動式，然後緩衝，登出時清楚openid，也就是說，子系統無法判斷緩衝，使用者對應關係而實現登出，這樣是否有風險？
另外不知道自己理解的openid是不是這個意思，歡迎拍磚。。
另外我的步驟中少需要考慮的東西嗎？
大家有什麼好建議嗎？
啊，大腦好亂。。

回複內容：

現在有子系統
A，B
現在想要將其登入打通
有兩種方案
1 session共用
這個方案效率太低，極高耦合度，僅僅適用於單子系統內部使用
2 使用統一授信伺服器S
比如有一個每一個系統都需要的統一的ope id，子系統發現沒有openid或者openid不對時重新導向到授信伺服器S進行登入，S提供一個openid到cookie，讓各個子系統訪問。
子系統訪問有兩種方案（我認為）
主動式：每一次使用者訪問時向S檢測openid是否正確（就像單系統登入向本地session查詢一樣）。但是問題就是這種方案太慢，每一次都需要向S查詢一下。另外可以緩衝一下資訊到本地，但是這樣就沒有辦法同步登出了。。QAQ
被動式：S在登入後，給每個系統 使用者已登入 的訊息，登出後給每個系統 使用者已登出 的訊息。但是，這樣耦合度太高，另外如果伺服器太多，豈不是崩了。。
該如何權衡？
我希望能夠主動式，然後緩衝，登出時清楚openid，也就是說，子系統無法判斷緩衝，使用者對應關係而實現登出，這樣是否有風險？
另外不知道自己理解的openid是不是這個意思，歡迎拍磚。。
另外我的步驟中少需要考慮的東西嗎？
大家有什麼好建議嗎？
啊，大腦好亂。。

單點登入一般不採用OpenId的概念，OpenId一般是外部驗證才採用的。單點登入一般從登入系統登入並在登入系統域寫身份 cookie 後，會跳轉到其他系統的一個回調地址，帶上 Ticket 參數，Ticket 是帶有有限期的驗證串，其他系統獲得 Ticket 後從後台向登入系統驗證 Ticket ，如果成功，則寫入當前域的 cookie 和其他的身份資訊。

關於登入後驗證（主要是登出檢查）這塊，大多是有單點登入的網站採用的是你的第二種思路，也就是向所有系統發出登出訊號，這個可以在登出後在使用者端用 ajax 靜默調用，一次調用多個也不會產生較大的影響。

謝謝關注，已經找到方法了，教程如下：
http://www.imooc.com/wap/article?article_id=3558

