这么多后台，统一门户记不住？

哈哈，你说公司里后台系统是越来越多了吧？ 从 Jenkins 到 GrayCenter，从监控到发布，一眼望去像是天上星星一样散落。 咱们老兄弟聊聊天先说个痛点——每次想进某个系统，dou得翻文档、翻聊天记录，甚至要把老板的微信截图找出来。

统一入口的初心

说实话，我一开始也没想把所有后台dou搬到一个门户里。 我只想要一个“总入口”，登录一次后Nengkan到自己有权限的所有系统。

于是我在公司内部搭了个统一门户。 它的核心功Nenghen简单：

用户统一登录

展示所有子系统的卡片式入口

基于权限动态过滤，只给员工kan该kan的系统

不过这玩意儿光有前端还不行，后面还有一堆技术细节要敲。

免登的“code”到底是干嘛的？

咱们先聊聊那段常被问到的“一次性 code”。 用户在门户登录成功后点开某个系统卡片，门户会向认证中心要一个 code。

这个 code 真的是一次性、秒级有效的凭证。 子系统收到 URL 上的 ?code=xxxx 后就去认证中心换取用户信息，然后自己生成本地 token。

不对不对，这里还有个关键点——子系统生成的是自己的 JWT，而不是直接复用门户的 token。 这样Zuo有两个好处：

每个子系统Ke以保持独立的登录逻辑，不必共享密钥。

S​SO 与本地登录互不干扰，本地登录的用户不会因为门户退出而被踢下线。

S​SO 的轻量实现思路

传统 SSO 太重：CAS、OAuth2 那套流程，需要每个子系统改造重定向、state、token 交换……费用高得吓人。

我们采用的是“轻量版 SSO”。 核心只围绕两个接口：

/sso/code/create生成一次性 code 并写入 Redis

/sso/code/verify子系统拿 code 换取 userId、username 等信息，同时删除 Redis 中的 code 防止重放攻击

A 对 B 系统来讲，它只需要判断 URL 有没有 ?code=... Ru果有，就调用 verify 接口；Ru果没有，就走自己的用户名密码登录。

Redis：状态中心而不是业务库

这里必须强调一下——所有短期状态dou放在 Redis。 别把它们塞进业务数据库，那速度慢，还会产生锁竞争。 Redis 集群或哨兵模式确保单点故障不会影响整个 SSO 流程。

单点退出怎么搞？

用户在门户点了退出，认证中心会往 Redis 写一条 sso:user:logout:{userId} 标记，并删除对应 loginKey。 各子系统在拦截器里检查：

If fromSSO 为 true 且 logout 标记存在 → 强制清除本地 token，跳回登录页。

If fromSSO 为 false → 不受影响，保持本地登录状态。

这招其实跟大厂差不多，只是实现geng轻量罢了。

权限管理：谁Neng进哪套后台？

权限表只有一张—— 每条记录代表 “某员工Ke以访问某系统”。 管理员在门户里给新人加账号时只要勾选对应系统，就搞定啦！ 以后同事调岗，只需要改这张表，一键生效，不用跑到每个子系统改权限。

健康检查模块，让卡片不再撒谎

咱们把每个子系统的探活地址登记进来例如 /healthz. 统一门户会定时 GET 那些地址，把结果渲染成在线/离线状态标识。 同事点进去就知道是宕机还是网络问题，省得再来一句 “你那边是不是挂了？”

A/B 环境如何区分？

A 环境和 B 环境共用同一套代码库，但 URL 不同。 我们在 Redis key 前加上环境前缀，例如 {dev}:sso:auth:xxxx, {prod}:sso:auth:xxxx. 这样即使同一个用户同时打开 dev 和 prod，两套授权码互不干扰，也不会出现 “登出把另一套环境也踢掉” 的尴尬情况。

实战经验小结 —— 为什么这种方式适合内部多后台场景？

#1 低侵入： 子系统只加一个拦截器或 SDK，即可支持免登；原有本地登录照常保留。

#2 成本可控： 无需统一 token 加密密钥，也不用全局 Session 同步；Redis Zuo短期缓存即可。

#3 友好： 新建一个后台，只需在 portal 的“系统管理”里登记一次然后授权给相应角色即可，无需改动Yi有代码。

#4 安全可靠： 一次性 code 短效、防重放；退出标记基于 Redis TTL；可选双因素进一步提升安全层级。

P.S. 老友提醒一下：

- 别忘了给重要后台加 IP 白名单，防止外部撞库攻击。 - 操作日志一定要落盘，无论是授权变geng还是踢下线，dou要留痕迹，以备审计。 - 定期检查 Redis 集群健康，否则 SSO 本身可Neng成为瓶颈。

—— 从“找不到入口”到“一键直达”

C 我们公司的内部后台Yi经从“散落四方”变成了“一站式入口”。 员工只需要记住 portal 地址，一个账号搞定所有权限；老板再也不用天天问我：“那个日志平台地址是哪？” 了。 Zui关键的是这套方案既保留了各子系统独立性的灵活，又实现了统一身份与退出管理——真正Zuo到 “统一但不死绑”。 说实话，用起来真的爽到飞起，你们公司Ru果也面临类似痛点，不妨试试kan这套轻量化 SSO + 门户组合方案吧！祝大家少点找链接，多点写代码 😎

---