做单点登录引发401未授权的原因哪些

# 做单点登录引发401未授权的原因哪些

在实现单点登录（SSO）系统时，401未授权错误是常见问题之一。以下是可能引发该错误的主要原因：

## 1. 无效或过期的Token
- **Token过期**：SSO令牌通常有有效期，过期后访问受保护资源会返回401。
- **Token格式错误**：如JWT签名验证失败或结构不符合规范。

## 2. 权限配置问题
- **客户端未授权**：目标应用未在SSO服务中注册，或缺少必要权限范围（scope）。
- **角色/权限映射错误**：用户权限未正确同步到目标系统。

## 3. 跨域/Cookie问题
- **Cookie未携带**：浏览器因跨域策略未自动发送认证Cookie。
- **SameSite属性限制**：Cookie的SameSite设置阻止了跨站请求。

## 4. 服务端配置异常
- **SSO服务端证书失效**：HTTPS通信时证书验证失败。
- **会话超时**：服务器会话超时但客户端Token仍存在。

## 5. 网络层问题
- **反向代理拦截**：Nginx/Apache等代理服务器未正确转发认证头。
- **防火墙拦截**：特定认证端口（如OAuth2的443）被阻断。

排查时建议优先检查Token状态、网络请求头和服务器日志，逐步缩小问题范围。