关于 SSO 单点注销， SSO如何通知子系统清除凭证？

子系统的注销按钮，是跳转到 SSO 的注销接口地址，然后 SSO 清除cookie,然后通知（发送 http 请求）给子系统清除 session。

但是当重新刷新子系统页面的时候，session 还是存在的，尴尬，

注销的代码如下，求大佬指教

dbit-xia 1楼•6 年前

会话应该是保存在浏览器cookie里的，要从前端请求子系统和SSO的退出

[CNodeMD]

zhongxia245 2楼•6 年前作者

@dbit-xia 比如有三个子系统，那么 SSO 服务器注销就需要跳转分别跳转三个子系统去注销，这样理解对吗？

puzzle9 3楼•6 年前

@zhongxia245 这个直接在sso服务器注销就可以其他站点在判断下有没有那个sso 的 cookie

zhongxia245 4楼•6 年前作者

@puzzle9 sso 不在一个域名下，拿不到 sso 的 cookie 的后面解决了，子系统把登录的 session 存在数据库或者 redis 里面，然后 sso 注销后，通知子系统去注销相对应的 session

hackboy 5楼•6 年前

我们实现的sso系统做单点退出原理就是在用户中心退出时分别通知各个子系统子系统负责自身的退出逻辑即可

zhongxia245 6楼•5 年前作者

@hackboy 对的哈

HongYangHT 7楼•5 年前

主系统提供用cookie换用户信息和验证的接口。子站每次刷新去请求主站接口。根据接口的返回，子站维护一个属于自己的session。

有时候答案不是唯一的，看你的业务需求，如果你需要你的子系统跟主系统绝对同步，那原则上你每个子系统请求都要去主系统check一下，

zhongxia245 10楼•5 年前作者

@HongYangHT 刚开始实现的时候没有用这个，换这个的话就需要重写了哈，

zhongxia245 11楼•5 年前作者

@SharksevenRo 对的，最终解决就是用这种方式