单点登录时序图

跳转到系统1主页，用户无感进入

访问

下发应用2client_id和client_secret

解析id_token获取用户信息、完成系统1自己的登录逻辑

核对code，生成token

注册到门户系统

登录界面

SSO认证中心

302

302（code、app2地址）

缓存token以及考虑token的过期处理

Browser

判断是否有code

判断是否登录

校验token

退出登录

返回

清除系统1session

重定向至认证中心的login页面

清除系统2session

携带code访问

登录用户名、密码，代表着同意统一认证平台给系统1提供code

创建授权码code

Authorization：basic Base64client_id:client_secretgrant_typeredirect_uricode(上面获取到的)

创建局部session

已登录

验证通过、创建全局session

受信任的系统2

再次访问，后续逻辑同1

下发应用1client_id和client_secret

跳转

由browser重定向访问authorize接口

获取token

所有逻辑后台进行，用户无感访问

清除全局session

发送退出请求

返回之前系统1请求code时携带的redirect_uri?code=....

client_idresponse_typeredirect_uriscope

可分为access_tokenid_tokenrefresh_token

注销

生成code

判断是否登录，如果没有，构建请求授权码code链接

无code，响应需重新请求code

返回token

受信任的系统1

构建、发送获取token请求

判断是否携带code，如果没有，构建请求统一认证平台颁发的授权码code链接

访问系统2