# 做單點登錄引發401未授權的原因哪些
在實現單點登錄(SSO)系統時,401未授權錯誤是常見問題之一。以下是可能引發該錯誤的主要原因:
## 1. 無效或過期的Token
- **Token過期**:SSO令牌通常有有效期,過期后訪問受保護資源會返回401。
- **Token格式錯誤**:如JWT簽名驗證失敗或結構不符合規范。
## 2. 權限配置問題
- **客戶端未授權**:目標應用未在SSO服務中注冊,或缺少必要權限范圍(scope)。
- **角色/權限映射錯誤**:用戶權限未正確同步到目標系統。
## 3. 跨域/Cookie問題
- **Cookie未攜帶**:瀏覽器因跨域策略未自動發送認證Cookie。
- **SameSite屬性限制**:Cookie的SameSite設置阻止了跨站請求。
## 4. 服務端配置異常
- **SSO服務端證書失效**:HTTPS通信時證書驗證失敗。
- **會話超時**:服務器會話超時但客戶端Token仍存在。
## 5. 網絡層問題
- **反向代理攔截**:Nginx/Apache等代理服務器未正確轉發認證頭。
- **防火墻攔截**:特定認證端口(如OAuth2的443)被阻斷。
排查時建議優先檢查Token狀態、網絡請求頭和服務器日志,逐步縮小問題范圍。
