写过单点登陆的老哥有几个问题想请教一下。

最好把用户鉴权体系抽成一个系统，A,B,C 三个系统登录都会到 O 这个系统去鉴权，鉴完权后在分别在三个系统写一个 session 即可。

这不是单点登录吧......单点登录不是多设备登录会把之前设备上的给踢下线么...

@biantaoGG 好吧 我孤陋寡闻了...原来单点登录不是我想的这样

这不是单点登录啊, 这种可以先确定一个唯一的用户 id, 然后再把 session id 或者 jwt 统一管理起来

jwt 了解一下

既然都单点了
用户的管理当然也要放一块去，注册、修改密码的地方都统一成一个啊
各个业务系统没必要自己再去维护一套用户数据了

单点登录：
用户想要凭借在 A 站点登记的的身份访问 B 站点，那么得先去 A 站点请求一个 token，建议用 JWT 形式 jwt.io 。
拿到这个 token 后，用户将这个 token 给 B 站点。至于怎么给，可以是 A 站点跳转到 B 站点的同时附带一个 token 在 query 里面（?token=xxx ），或者 post 同时跳转到 B （不知道前端能不能跨域 post+跳转）。

这个 token 附带该用户在 A 站点登记的信息，比如 id。B 站点用这个 id 来区分用户的身份。

B 站点怎么确认这个 token 的合法性？因为这个 token 是用户传递给 B 的，所以会被伪造。所以 token 里面还要附带签名（这也是 jwt 的标准）。同时 B 也要有 A 的公钥。2) 也可以 B 向 A 发起查询，但是会有网络和磁盘开销。

万一用户修改密码怎么办？一个解决方案是 A 在 token 里面加上过期时间（这也是 jwt 标准）。过期后，用户将 token 传递给 B，B 发现过期，所以让用户重新去 A 站点，重新输入密码，重新请求 token。
还可以用 B 向 A 发起查询的方式，每个请求都查询一遍。或者当用户在 A 系统修改密码时，A 向 B 推送废除 token 的消息。这类设计的安全系数高，消除了不一致窗口（窗口长度<=token 过期时间），但是开发难度大，并且提高了系统的耦合程度。

感谢楼上 涨知识了

用户表集中到 cas 呗，如果想各个系统单配权限，那就同步用户表到各个系统进行权限配置，或者是 cas 返回信息的时候把集中权限返回给对应的系统

这一类实现单点登录的云服务已经很多了，为什么还要自行开发呢？
比如国内的 Authing，还有美国的 Auth0 和 AWS Cognito 都行的（国内由于政策原因用不了）。
用了以后就回不去了，再也无需开发、运维用户系统了