php怎么实现SSO登录

# PHP怎么实现SSO登录

## 什么是SSO登录

SSO（Single Sign-On，单点登录）是一种身份验证机制，允许用户通过一次登录访问多个相互信任的应用系统。典型应用场景包括：

- 企业内网系统（OA、CRM、ERP等）
- 互联网平台生态（如Google全家桶）
- 教育/政府统一身份认证平台

## SSO核心实现原理

### 1. 基于Token的认证流程

```mermaid
sequenceDiagram
    用户->>认证中心: 访问系统A
    认证中心-->>用户: 重定向到登录页
    用户->>认证中心: 提交凭证
    认证中心->>用户: 颁发Token并重定向回系统A
    用户->>系统A: 携带Token访问
    系统A->>认证中心: 验证Token有效性
    认证中心-->>系统A: 返回验证结果
    系统A->>用户: 授权访问

2. 关键技术组件

• 中央认证服务（CAS）：处理认证请求的核心服务
• Token生成/验证：通常采用JWT或自定义Token
• 跨域会话管理：通过Cookie、LocalStorage或URL参数传递

PHP实现方案

方案一：使用JWT实现

1. 安装依赖

composer require firebase/php-jwt

2. 认证中心代码示例

<?php
use Firebase\JWT\JWT;

// 生成Token
function generateToken($userId) {
    $secretKey = 'your-secret-key';
    $payload = [
        'iss' => 'auth-center',
        'sub' => $userId,
        'exp' => time() + 3600,
        'iat' => time()
    ];
    return JWT::encode($payload, $secretKey, 'HS256');
}

// 验证Token
function validateToken($token) {
    try {
        $decoded = JWT::decode($token, 'your-secret-key', ['HS256']);
        return (array)$decoded;
    } catch (Exception $e) {
        return false;
    }
}

方案二：使用Session共享

1. 配置Redis存储Session

ini_set('session.save_handler', 'redis');
ini_set('session.save_path', 'tcp://redis:6379');

2. 统一登录验证

session_start();

if (!isset($_SESSION['user'])) {
    header("Location: https://sso.example.com/login?return_url=".urlencode($_SERVER['REQUEST_URI']));
    exit;
}

完整实现步骤

1. 搭建认证中心

1. 创建登录表单页
2. 实现用户凭证验证
3. 生成加密Token
4. 设置跨域Cookie

2. 客户端系统集成

// 在受保护页面顶部添加检查
$token = $_GET['token'] ?? $_COOKIE['sso_token'] ?? null;

if (!$token) {
    $redirectUrl = urlencode('https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
    header("Location: https://sso.example.com/login?redirect=$redirectUrl");
    exit;
}

// 验证Token
$authData = file_get_contents("https://sso.example.com/verify?token=".$token);
if (!$authData = json_decode($authData, true)) {
    die("认证失败");
}

// 设置本地会话
$_SESSION['user'] = $authData['user'];

安全增强措施

1. HTTPS强制：所有通信必须加密

<VirtualHost *:443>
    SSLEngine on
    # SSL证书配置...
</VirtualHost>

1. Token安全策略

• 设置合理有效期（建议30-120分钟）
• 使用强加密算法（HS256/RS256）
• 实现Token刷新机制

1. 防CSRF攻击

// 生成CSRF Token
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));

// 表单验证
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("非法请求");
}

常见问题解决方案

跨域问题处理

header("Access-Control-Allow-Origin: https://trusted-domain.com");
header("Access-Control-Allow-Credentials: true");

多子域名共享Session

ini_set('session.cookie_domain', '.example.com');

性能优化建议

1. 使用OPcache加速PHP
2. Token验证结果缓存（Redis）
3. 异步日志记录

推荐扩展包

1. laravel/passport：OAuth2服务实现
2. phpcas/phpcas：CAS协议客户端
3. lcobucci/jwt：轻量级JWT库

总结

PHP实现SSO登录需要重点考虑： - 安全的Token生成/传输机制 - 高效的会话验证方式 - 完善的错误处理流程 - 良好的跨系统兼容性

实际部署时建议先进行小范围测试，逐步完善日志监控和异常处理机制。 “`

注：本文示例代码需要根据实际业务需求进行调整，生产环境请务必加强安全防护措施。完整实现建议参考OAuth2.0或SAML等成熟协议标准。