由于文章的篇幅有限，无法将全部的代码贴上来，如想要看完整案例，请在公众号文章中留言(其他平台很少看…毕竟最近印度同事的UI组件库搞得我好烦)

---

1.关于SSO

单点登录又称之为SSO,全称为 Single Sign On ，一般在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

比如，当我们使用一个腾讯旗下的产品时，我们一般会接入QQ登陆，此时就可以认为QQ登陆为我们的SSO。只要我们登录了QQ，就可以根据凭证获取到你在QQ中的信息，并登录该平台。

2.SSO流程

无论使用第三方或者是自己的sso，下面将以一个开发人员的角度，以QQ作为例子讲解一个SSO的过程，

1.当用户第一次登录平台A的时候，由于该平台使用了QQ的服务去获取用户信息，该平台会自动调用QQ的服务（比如跳转QQ登录），此时我们会设置一个RedirectURL的参数到qq的login服务上。

2.当用户从qq登录后，qq的后台服务会根据我们的 RedirectURL 参数，将一个token传到我们的Redirect的地址。

3.当我们的服务接收到了来自QQ服务器的一个重定向请求，且该请求还会带一个token，我们可以根据QQ文档去调用Api获取我们想要的信息，比如获取用户信息等。

4.当我们获取到用户的信息之后，我们用 JsonWebToken 的形式重新去设置我们的token，并且使用其作为前后端通讯的token。

在上述的过程中，我们使用第三方的SSO，是基于以下几个原因

• qq本质上提供了用户的信息给我们，并且提供了一个便捷的，获取用户信息的api。
• QQ作为一个维护多年的平台，对于权限以及用户管理等模块已经很完善了
• 我们自己开发的话，我们需要花费大量的时间和精力，还不能保证一定没问题

3.关于Azure

上面的过程中，已经知道SSO的流程，想必大家都已经对SSO有了初步的认知，而选择一个SSO是要根据市场以及客户所用的SSO有关，比如对于外企，我们会选择Azure作为SSO，而不是选择很少外国人用的QQ。

Microsoft Azure 作为微软云计算,大公司背书.

最主要是我们的客户选择使用它，所以下面的例子会以其作为例子

4.使用SSO

不同平台的sso参数思路‘大差不差’，都是用 AppID + AppScrect 这一套，所以下面的例子也按照这个套路来介绍。

1.准备各类参数，其中最主要的参数是CLIENT_ID，TENANT_ID，CLIENT_SECRET。

//当前域名
LOGIN_REDIRECT=https://xxx.com
//重定向地址
OAUTH2_REDIRECT_URL=https://xxx.com/user/login_callback
//client_id,在app的详情中查看，由管理员给的
OAUTH2_CLIENT_ID=6aaaaaae-7aaa-4aaa-baaa-aaaaaaaaad89
//tent_id,可以理解为密钥。由管理员给的
OAUTH2_TENANT_ID=4266ec6c-fe9f-4893-82e9-996189e0b81b
//在Azure上生成的，验证机器是否允许登录
OAUTH2_CLIENT_SECRET=mvaaa~.qLgH8aaaaaaaaaTpnWaLD9Em-H3Z6gb_T

2.准备我们的登陆接口重定向到auzre的登陆接口

当用户调用我们的登陆接口时，我们会马上调用到Azure的服务去登陆。

  @Get('user/login')login(@Response() res) {res.redirect(this.userServie.processLogin());}
​

此时，浏览器的弹窗如下：

3.登陆成功后获取到用户的凭证

@Get('user/login_callback')async loginCallback(@Request() req, @Response() res) {let code = '';if (req.query.code) {code = req.query.code;const tokenInfo = await this.userServie.getAccessTokenByCode(code, req.log);// if redirect error, check cookie has refresh_tokenif (tokenInfo.error) {req.log.error(`user login callback error will redirect to login`);res.redirect('/login');} else {const { claimsInfo, user, groups } = this.userServie.processAccessToken(tokenInfo.access_token);
​if (!groups.includes(environmentConfig.azure.adGroupName)) {req.log.error('User not in AD group');res.status(400).json({ message: 'User not in AD group' });}
​
​req.log.info(`login user name is ${user.id}`);const redirectUrl = `${environmentConfig.cx.frontend_url}?t=${claimsInfo}`;res.redirect(redirectUrl);}} else {req.log.error('ADFS grant code not found');res.status(400).json({ message: 'ADFS grant code not found' });}}
​

上述代码中，流程在于获取到了azure的token之后，调用api获取用户信息，并生成新的token并给到前端。

4.根据凭证获取到用户的信息。

在上述代码中，我们完成了整个流程，但是最主要的核心代码如下

processAccessToken(azureToken) {const auzraUserInfo = JWT.decode(azureToken);const {onPremisesSamAccountName = '',cn = '',name = '',family_name = '',given_name = '',username = '',groups = []} = auzraUserInfo;let adKeyWord = '';let userName = '';adKeyWord = name;userName = `${given_name} ${family_name}`;const jwtToken = JWT.sign({cn: adKeyWord,sAMAccountName: adKeyWord,username: userName,auth: 'saml',thumbnail: ''},environmentConfig.cx.jwt_token_secret,// { expiresIn: 7 * 24 * 60 * 60 }{ expiresIn: 1 * 24 * 60 * 60 });return { claimsInfo: jwtToken, user: { id: userName }, groups: groups };}

至此，一个流程就结束了，我们将生成的 token 放到前端就可以了。

需要注意的是，我们的凭证是有expiry date的。

多谢关注~ 公众号求关注~

公众号文章