java - 使用 spring session ID cookie 进行单点登录？

Question

我正在开发一个项目，该项目使用存储在客户端浏览器上的 cookie 中的 Spring session ID 通过 Spring Security 实现用户身份验证。没有身份验证服务器，同一服务器管理身份验证并将整个应用程序作为一个整体进行管理。
因此，我们现在需要使用第三方系统实现 SSO，到目前为止，我读到的有关此事的所有内容都需要 OAuth 或支持外部身份提供商的基于 token 的身份验证的其他实现。我不想迁移身份验证策略，因为我们有点赶时间。
我正在从事另一个具有 OAuth 身份验证的项目，因此我对该主题并不陌生(尽管也不是真正的专家)。
有人可以解释一下吗？我只需要知道是否可能或者没有其他方法来迁移身份验证策略。

Answer 1

只有当您使用所谓的“域 cookie”时，基于 Cookie 的 SSO 才可能(以简单的方式)。从技术上讲，所有应用程序都需要共享相同的“cookie 域”。然而，从安全角度来看，这是非常不鼓励的，因为 cookie 劫持是可能的。