一、什么是单点登录SSO单点登录Single Sign-On简称SSO是一种身份验证机制用户只需在一个系统中登录一次即可访问所有相互信任的关联系统而无需重复认证。例如登录Google账号后可以直接使用Gmail、YouTube、Google Drive等服务。SSO的核心流程可以概括为用户访问子系统A被重定向至中央认证中心用户在认证中心登录后认证中心颁发令牌Token子系统A通过验证令牌获取用户信息用户访问子系统B时重复验证令牌流程无需再次登录对于前端Vue.js应用而言实现SSO的核心职责包括检测登录状态、处理认证跳转、管理Token令牌、以及跨应用同步登录状态。二、SSO的主流实现方式对比根据2024-2026年的前端实践SSO主要有三种落地方式方式一基于Cookie的域共享传统方式适用场景所有应用在同一顶级域下如 app1.company.com、app2.company.com、sso.company.com。核心机制SSO服务器设置Cookie时指定domain.company.com; Secure; HttpOnly; SameSiteLax浏览器在所有子域自动携带该Cookie。优缺点浏览器原生支持前端几乎无感实现但仅限子域场景无法跨顶级域。企业内网、传统ToB系统仍大量使用但新项目已逐步转向Token模式。方式二基于Token的集中式认证当前最推荐适用场景跨顶级域、多前端框架React/Vue/Next.js、移动端与Web混合。核心流程OIDC Authorization Code PKCE Refresh Token用户访问任意前端应用 → 未登录 → 重定向到SSO中心SSO中心登录成功 → 返回授权码code前端用PKCE换取Tokenaccess_token refresh_token前端存储Token并携带在后续请求的Header中优点跨域支持好不依赖第三方Cookie安全性高是当前主流方案。方式三iframe postMessage通信过渡方案适用场景遗留系统集成、临时桥接。核心机制业务应用通过window.open弹出登录中心登录成功后利用postMessageAPI 将Token安全传递回主应用。局限性受浏览器隐私策略限制第三方Cookie逐步淘汰已不再是推荐方案。三、Vue.js前端SSO实现的完整步骤1. 系统架构设计一个典型的SSO系统包含三个核心角色认证中心Auth Server独立的前端应用或服务负责统一身份认证、Token发放与登录状态管理业务应用ClientVue.js构建的前端应用提供具体业务功能依赖登录状态访问受保护资源后端服务Backend提供API接口通过校验Token合法性控制资源访问在技术选型上常见组合为Vue前端 JWT令牌 OAuth2.0/OIDC协议。2. 配置路由守卫路由守卫是SSO实现的第一道防线用于拦截未登录用户的访问请求。Vue Router全局前置守卫示例// router.jsimportrouterfrom./router;importstorefrom./store;router.beforeEach((to,from,next){constisAuthenticatedstore.getters[auth/isLoggedIn];// 如果路由需要认证且用户未登录跳转到登录页if(to.meta.requiresAuth!isAuthenticated){next({path:/login,query:{redirect:to.fullPath}});}else{next();}});更完整的SSO路由守卫逻辑router.beforeEach(async(to,from,next){letuserInfostorageLocal().getItem(userKey);// 检查本地缓存if(!userInfo){letcurrentUrlwindow.location.href;// 1. 检测是否为SSO回调URL中带有授权码constmatchcurrentUrl.match(/code([^#]*)/);constcodematch?match[1]:null;if(code){// 2. 有授权码 → 用code换取token和用户信息awaitloginByCode(code);}elseif(to.query.typesso){// 3. 需要SSO认证 → 跳转到认证中心currentUrlcurrentUrl.replace(sso,sse);// 防止死循环constssoUrlawaitgetSsoUri(currentUrl);window.location.hrefssoUrl;}}// 再次检查用户信息决定跳转目标userInfostorageLocal().getItem(userKey);if(!userInfo){// 跳转到登录页}next();});关键要点使用to.meta.requiresAuth标记需要认证的路由检测URL中的授权码code参数完成认证回调处理通过query参数如typesso触发SSO跳转流程注意防止死循环跳转如将sso替换为sse3. 登录跳转与Token处理当检测到用户未登录时前端需要将用户重定向到认证中心。登录跳转实现// Login.vueexportdefault{methods:{redirectToAuthServer(){constauthUrl${authServerUrl}/login?client_id${clientId}redirect_uri${encodeURIComponent(window.location.origin/callback)};window.location.hrefauthUrl;},// 回调页面解析TokenhandleCallback(){consttokenthis.$route.query.token;if(token){this.$store.dispatch(auth/saveToken,token);this.$router.replace(this.$route.query.redirect||/);}}}}处理认证回调的关键步骤前端通过重定向将用户引导至认证中心携带redirect_uri参数认证中心登录成功后携带授权码code或Token重定向回前端前端在回调页面解析URL参数获取Token并存储优化技巧将登录流程完全置于Vue Router的控制之下利用导航守卫和编程式导航来管理状态避免硬刷新带来的体验问题。当检测到code时可以在守卫中挂起导航返回pending Promise待Token获取完成后再通过router.replace()完成无痕路由替换。4. Token存储与管理Token的存储和管理是SSO实现的核心环节。使用Vuex/Pinia进行状态管理// store/auth.jsconststate{token:null};constmutations{SET_TOKEN(state,token){state.tokentoken;localStorage.setItem(jwt,token);// 持久化存储},CLEAR_TOKEN(state){state.tokennull;localStorage.removeItem(jwt);}};constactions{saveToken({commit},token){commit(SET_TOKEN,token);},logout({commit}){commit(CLEAR_TOKEN);// 跳转到登录页window.location.href/login;}};Token存储的安全建议Access Token建议存储在内存中Pinia/Vuex状态配合XSS防护Refresh Token建议存储在HttpOnly Cookie中防止XSS攻击窃取本地存储localStorage方便页面刷新后恢复状态但需注意XSS风险在Vue 3项目中推荐使用Pinia进行Token状态管理它更简洁、类型支持更好。5. 全局Axios拦截器Axios拦截器负责在每次请求中自动携带Token并处理Token过期时的自动刷新。请求拦截器自动在请求头中添加Token// axios.jsimportaxiosfromaxios;importstorefrom./store;axios.interceptors.request.use(config{consttokenstore.getters[auth/token];if(token){config.headers.AuthorizationBearer${token};}returnconfig;});响应拦截器处理401未授权错误触发重新登录axios.interceptors.response.use(responseresponse,error{if(error.response.status401){store.dispatch(auth/logout);window.location.href/login;}returnPromise.reject(error);});Token无感刷新机制在请求拦截器中检查Token是否即将过期若是则先发起静默刷新请求在响应拦截器中检测401状态自动刷新Token并重试原请求多个请求同时失败时使用请求队列避免重复刷新四、弹窗 postMessage 模式可选方案除了整页重定向弹窗模式是另一种常见的SSO交互方式用户体验更佳。核心流程1. 触发登录业务应用检测到未登录状态后通过window.open打开登录中心弹窗// 响应拦截器中触发登录弹窗request.interceptors.response.use((res){if(res.data.status401){window.open(http://sso-server.com/login?resource${window.location.origin});}returnres;});2. 监听回调业务应用注册message事件监听接收登录中心传递的Token// main.js 中注册监听window.addEventListener(message,(event){// 严格校验发送方的origin防止恶意伪造if(event.origin!http://sso-server.com)return;const{token}event.data;if(token){store.dispatch(auth/saveToken,token);}});3. 安全校验必须严格校验event.origin防止恶意网站伪造消息五、常见SSO协议的前端对接OAuth2.0 / OIDC 协议OAuth2.0 OpenID ConnectOIDC是目前最主流的SSO协议方案。前端主要工作包括选择合适的SSO协议和服务在Vue项目中配置SSO相关的库和插件实现授权码流程Authorization Code Flow处理认证后的用户信息社区方案可使用ztzx/vue-sso-interceptor等Vue 3 SSO插件它提供了完整的OAuth2/OIDC认证流程支持包括自动路由守卫、Token管理、Pinia状态集成等功能。CAS协议CASCentral Authentication Service是另一种开源的单点登录协议。在Vue项目中集成CAS的要点配置CAS服务器地址在路由守卫中判断无Token时跳转到CAS认证中心替换原有的登录页跳转逻辑处理CAS回调获取Ticket并换取用户信息核心改造思路将CAS认证流程从“后端驱动、浏览器自动跳转”转变为“前端感知、主动协作”的API调用模式。六、安全最佳实践1. Token安全存储Access Token避免存储在localStorage易受XSS攻击Refresh Token使用HttpOnly Cookie存储考虑使用内存存储 定期刷新的组合方案2. 防止CSRF攻击使用SameSite Cookie属性在请求中添加CSRF Token使用PKCEProof Key for Code Exchange增强授权码流程安全性3. 跨域安全严格校验postMessage的event.origin合理配置CORS策略避免在前端暴露敏感信息如client_secret4. 登出处理清除前端本地存储的Token调用后端登出接口跳转到SSO中心的全局登出页面实现“一处登出处处登出”七、2026年趋势与挑战随着浏览器隐私策略的收紧第三方Cookie逐步被禁用SSO前端实现正经历重要变革第三方Cookie基本被禁用Chrome已100%推进传统依赖Cookie的SSO方案受到冲击Storage Partitioning不同顶级域的localStorage相互隔离演进方向从“纯Cookie共享” → “纯Token集中式” → “混合/BFF模式”成为主流路径对于Vue前端开发者而言基于Token的集中式认证OIDC PKCE Refresh Token是当前最推荐的SSO实现方案具有良好的跨域支持和浏览器兼容性。八、总结在Vue.js中实现单点登录前端主要承担以下职责配置身份验证服务选择合适的SSO协议OAuth2/OIDC/CAS和认证服务配置路由守卫保护需要认证的路由拦截未登录访问处理认证回调解析授权码换取并存储Token实现全局状态管理使用Vuex或Pinia集中管理用户登录状态配置请求拦截器自动携带Token处理Token过期刷新通过以上步骤Vue前端应用可以完整实现“一次登录多系统通行”的SSO能力在提升用户体验的同时保障系统安全。