SSO
你刚登录完一个系统, 点开另一个页面, 又被要求登录一次。
你心里大概会嘀咕一句:
“怎么又要登?”
这句话, 基本就是 SSO 出现的起点。
一开始,其实没人想“做 SSO”。
大家想的只是:
- 能不能少输几次密码
- 能不能别老被踢下线
- 能不能看起来专业一点
所以很多团队最早的 SSO, 都很朴素:
“只要不用重复登录就行。”
这在早期,完全没问题。
后来系统慢慢多了。
后台一个、运营一个、配置台一个、 再加上对外系统、移动端、小程序。
你开始发现:
- 登录逻辑散落在各处
- Token 各发各的
- 过期时间全靠约定
- 出问题时,不知道该找谁
这时候你才会意识到:
原来 SSO 不是“省一次登录”, 而是“谁有资格发通行证”。
很多人把 SSO 理解成“技术方案”。
什么 OAuth、OIDC、CAS、JWT……
但真正落地的时候你会发现, 协议反而是最简单的部分。
真正难的是这一句:
整个系统体系,到底认不认同一个“登录真相源”。
如果这个问题没想清楚, 再好的协议也只是在“打补丁”。
有一次我听人吐槽,说他们已经“做了 SSO”, 但用户还是经常被踢下线。
细问才知道:
- 每个系统都有自己的登录态
- SSO 只是“帮你跳转了一下”
- Token 还是各自维护
那一刻你会突然明白:
这不是 SSO, 这是“看起来像 SSO”。
真正的 SSO,有点像什么呢?
有点像小区门禁。
你进小区的时候刷一次卡, 进单元、进电梯、进房门, 都默认你是“已经进来的人”。
没人会在每一道门前都问你一次:
“你是谁?”
前提是—— 这张卡是统一发的。
所以说,SSO 的核心其实很简单:
只认一次身份, 其余系统选择相信。
注意这句话里的重点: 不是“不用再登录”, 而是“选择相信”。
这也是为什么, SSO 永远绕不开“信任边界”。
你信谁发的 Token? 你敢不敢放行? 出了问题算谁的?
当这些问题有答案了, SSO 才算真正站住。
再往后,你会发现一个有意思的变化。
当 SSO 稳定之后:
- 新系统接入变简单了
- 安全策略有地方放了
- 登录问题不再到处冒烟
它不再是一个“显眼的系统”, 反而慢慢变成了基础设施。
就像水电一样。
有人会问:
“那 SSO 值不值得一开始就做?”
说实话, 如果你只有一个系统, 它确实没那么重要。
但一旦你心里已经知道:
“以后肯定不止一个。”
那 SSO 早点想清楚, 至少不会走弯路。
