两个域名统一登陆

基础概念

统一登录（Single Sign-On, SSO）是一种身份验证机制，允许用户使用一组凭据登录多个相关但独立的软件系统。在两个域名之间实现统一登录，意味着用户只需在一个域名下登录，就可以访问另一个域名下的资源，无需再次输入用户名和密码。

相关优势

1. 用户体验提升：用户只需记住一组凭据，减少了重复登录的麻烦。
2. 安全性增强：减少了因多次输入密码而导致的错误和泄露风险。
3. 管理简化：管理员可以集中管理用户账户和权限，降低了维护成本。

类型

1. 基于Cookie的SSO：通过在不同域名间共享Cookie来实现。
2. 基于OAuth的SSO：使用OAuth协议进行授权，适用于第三方应用登录。
3. 基于SAML的SSO：使用安全断言标记语言（SAML）进行身份验证，适用于企业级应用。

应用场景

1. 企业内部系统：多个子系统需要统一登录，如OA系统、ERP系统等。
2. 多租户平台：不同租户使用同一平台，但需要独立登录。
3. 第三方应用集成：多个第三方应用需要统一登录，如社交媒体登录。

实现方法

基于Cookie的SSO

1. 设置共享Cookie：在用户登录时，在主域名下设置一个Cookie，并确保该Cookie可以在子域名中访问。
2. 验证Cookie：在子域名中读取该Cookie，并验证其有效性。

// 主域名登录页面
document.cookie = "sessionId=123456; domain=.example.com; path=/";

// 子域名验证页面
if (document.cookie.indexOf("sessionId=123456") !== -1) {
    // 验证通过
}

基于OAuth的SSO

1. 用户访问子域名：用户在子域名中请求登录。
2. 重定向到主域名：子域名重定向用户到主域名的OAuth服务器。
3. 用户登录并授权：用户在主域名中登录并授权。
4. 返回授权码：主域名返回一个授权码给子域名。
5. 获取访问令牌：子域名使用授权码获取访问令牌。
6. 验证访问令牌：子域名验证访问令牌的有效性。

// 子域名请求登录
window.location.href = "https://main.example.com/oauth/authorize?client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&response_type=code";

// 子域名获取访问令牌
fetch("https://main.example.com/oauth/token", {
    method: "POST",
    body: new URLSearchParams({
        grant_type: "authorization_code",
        code: "AUTHORIZATION_CODE",
        redirect_uri: "REDIRECT_URI",
        client_id: "CLIENT_ID",
        client_secret: "CLIENT_SECRET"
    })
})
.then(response => response.json())
.then(data => {
    const accessToken = data.access_token;
    // 验证访问令牌
});

常见问题及解决方法

1. Cookie跨域问题：确保Cookie的domain属性设置为父域名，并且path属性设置为根路径。
2. OAuth授权码泄露：使用HTTPS协议传输数据，确保授权码在传输过程中不被窃取。
3. 访问令牌过期：设置合理的令牌过期时间，并在令牌过期前刷新令牌。

参考链接

• OAuth 2.0
• SAML 2.0

通过以上方法，可以在两个域名之间实现统一登录，提升用户体验和安全性。