In Romance of the Three Kingdoms, there's a chapter every Chinese kid knows by heart: 过五关斩六将 — Guan Yu, trying to reunite with his sworn brother Liu Bei, fights his way through five checkpoints and kills six generals. No pass, no paperwork, no network of trust. Just his halberd and his horse. That's you. Every morning. Gmail, Slack, Jira, Figma, GitLab, Notion, the staging server, the analytics dashboard, the internal wiki, the VPN. Six generals. Five gates. And you don't have a halberd. SSO — Single Sign-On — is the paperwork Guan Yu never had.

What SSO actually is

Strip away the acronyms for a second. Single Sign-On means: you prove who you are once, to one trusted party, and that party vouches for you everywhere else. You log into one thing. Everything else just… lets you in. If you've ever clicked "Sign in with WeChat", "Sign in with Apple", or "Sign in with Google" — congratulations, you've used SSO. You didn't make a new password. The third party shouted "自己人!" (one of ours) across the wall, and the door opened. That's it. That's the whole trick.

The 腰牌 metaphor

In imperial China, officials and messengers carried a 腰牌 — a waist token, a small engraved plaque hung from the belt. The token didn't say what you could do. It said who backed you. When you showed up at a city gate with a 腰牌 from the Ministry of War, the guard didn't grill you about your business. He recognized the authority behind the token and waved you through. That's almost exactly how SSO tokens work today. After you log in once, the identity provider — Google, WeChat, your company's Okta — hands you a digital 腰牌 (technically called a token or an assertion). Every app you try to enter checks the token, sees whose seal is on it, and lets you in. Nobody's checking your password at every door. They're checking the seal.

Why this is a uniquely Asian story

Western tutorials on SSO tend to start with enterprise software: Okta, SAML, Azure AD, Active Directory Federation Services. It's a story about employees and HR. But in China, SSO was always a consumer story first. If you're reading this from Shanghai or Chengdu, your first SSO wasn't your company's Okta dashboard. It was 微信登录. Or 支付宝. Or QQ互联. You logged into a thousand tiny services — food delivery, bike rental, group buying, mini-programs — without ever creating an account on any of them. WeChat vouched for you. That was enough. This is one of those quiet cultural divergences that shapes how an entire generation thinks about identity online: - In the West, identity is federated — scattered across Google, Apple, Facebook, GitHub, and fifty startups you signed up for in 2018. Each one nibbles at a corner of who you are. - In China, identity is consolidated — collapsed into a handful of super-apps that each try to be the single window through which your entire digital life flows. Neither is objectively better. But if you grew up with WeChat, "one login for everything" isn't a novel idea to be explained. It's Tuesday.

The health code moment

If you lived in mainland China between 2020 and 2022, you experienced something nobody in software history had experienced at scale: SSO for physical space. The 健康码 was, technically, a mini-program inside WeChat or Alipay. You logged in once — with your real name, your ID card number, your phone. After that, a single green QR code got you into the subway, the office, the mall, the hospital, your apartment complex. It was SSO for buildings. SSO for the city. Red code = the seal is revoked. No gate opens. It was, depending on your perspective, either the most elegant demonstration of SSO ever deployed, or a cautionary tale about centralizing identity. Probably both.

How it actually works (the 30-second version)

The two dominant SSO protocols are SAML (older, enterprise-heavy) and OAuth / OIDC (younger, what every consumer SSO uses under the hood). Details differ, but the choreography is the same: 1. You click "Sign in with X" on Site A. 2. Site A bounces you to Identity Provider X. 3. You log into X — or you're already logged in, even better. 4. X hands you a signed token: "this is user 12345, valid until 18:00, signed sincerely, X." 5. You hand the token back to Site A. 6. Site A verifies X's signature, reads the token, and lets you in. The magic is in step 4 — that signature. Site A never sees your password. It just trusts X's seal. If X's seal is good, the gate opens. This is why SSO is simultaneously safer and scarier than traditional passwords. Safer: your password lives in one place, protected by one team of paranoid security engineers, instead of being reused across forty sites. Scarier: if that one seal gets forged, every door opens.

The 玉玺 problem

The 玉玺 was the imperial seal of ancient China — a jade stamp that authorized every edict of the emperor. Whoever controlled the 玉玺 controlled the empire. Entire dynasties turned on who physically held it. SSO has the same structural property. If someone phishes your WeChat account, they don't just get into WeChat. They get into every mini-program, every linked payment method, every service that ever trusted WeChat's seal. If an enterprise attacker breaches your company's Okta tenant, they don't compromise Okta — they compromise every SaaS app your company federates through it. The tradeoff, stated plainly: convenience scales, and so does blast radius. Good SSO deployments mitigate this with MFA (多因素认证), device binding, session limits, and aggressive monitoring. But the fundamental physics don't change. One seal, one empire.

The regional flavor

If you're building for an Asian market, your SSO options look different from the Western playbook: - Mainland China — WeChat (微信), QQ, Alipay (支付宝), Weibo (微博) for consumer. DingTalk (钉钉), Feishu (飞书), WeCom (企业微信) for work. Google / Facebook login is not an option — the Great Firewall breaks the OAuth redirect. - Taiwan / Hong Kong — Line, Apple ID, and Google are all common; local bank SSO like TW FidO is a growing thing. - Japan — Line dominates social SSO. Yahoo! Japan still matters (yes, really). Rakuten ID runs e-commerce. - Korea — KakaoTalk and Naver for almost everything. Apple and Google are secondary. - SEA — Mixed. Line in Thailand, Grab ID increasingly everywhere, Facebook still strong in Indonesia and the Philippines. If you're a developer shipping anything consumer-facing in Asia and you only support Google / Apple login, you've just told 1.4 billion people that their internet doesn't count.

The real-name wrinkle

One detail Western engineers often miss: in mainland China, 实名制 means your phone number is legally tied to your ID card. So when you SSO into a service via WeChat or Alipay, you're not just passing a username — you're passing a verified legal identity, whether the app asked for it or not. This changes the threat model. Losing your Google account is painful. Losing your WeChat account is losing your bureaucratically-recognized self — your payment history, your chat history, your health records, your legal receipts, the mini-program that runs your building's elevator. It's closer to losing your ID card than losing a password. It's also why Chinese users often have more sophisticated intuitions about SSO risk than Western users do. They've felt the weight of the 玉玺.

So, should you use SSO?

For users: yes, almost always. One strong password plus MFA on one account beats forty reused passwords across forty leaky databases. Just don't let "one account" become "one unprotected account." For developers: yes, but choose your identity providers the way you'd choose a surety — because that's what they are. You are inheriting their security posture, their uptime, their geography, their politics. If you ship in Asia, ship with Asian providers. If you ship for enterprise, ship with enterprise providers. Don't federate through someone you wouldn't vouch for yourself. For everyone: remember the 玉玺. Whoever holds the seal holds the gate. Choose the seal's keeper carefully. And — if you can — keep a second one in a drawer. After all, even Guan Yu didn't trust just one pass.

《三国演义》里,每个中国小孩都耳熟能详的那一段:过五关斩六将——关羽为了与大哥刘备重聚,硬是杀穿五道关口,斩了六员大将。没有通行证,没有文书,没有信任网络。只有他的青龙偃月刀和赤兔马。 这就是你,每一个早上。Gmail、飞书、Jira、Figma、GitLab、Notion、测试服务器、数据看板、公司 wiki、VPN。六员大将,五道关口。可你连把刀都没有。 SSO——Single Sign-On,单点登录——就是关羽当年没有的那张通行证。

SSO 到底是什么

先把术语放一边。 单点登录的意思是:你只证明一次自己是谁,向一个可信的第三方证明,然后它替你在所有其他地方背书。你登录一个东西。其他所有的,就……让你进。 如果你点过"微信登录"、"用 Apple 登录"、"用 Google 登录"——恭喜,你用过 SSO。你没注册新账号,没设新密码。那个第三方隔着墙喊了一声"自己人!"门就开了。 就这么简单。这就是全部的把戏。

腰牌这个比喻

古代中国,官员和传令兵腰间都挂着一块腰牌——一枚小木牌或铜牌,别在腰带上,刻着印记。腰牌不说明你能干什么,它说明是谁给你撑腰。你在城门口亮出一块兵部的腰牌,守门的不会盘问你办什么事,他认的是印记背后的权威,抬手就放你过。 今天的 SSO token,逻辑几乎一模一样。你登录一次之后,身份提供方——Google、微信、公司的 Okta——会递给你一块数字腰牌(技术上叫 token,或者 assertion)。你去任何其他的应用,应用只检查这块腰牌上是谁的印,印对,就放你进。 谁在挨个门核对你的密码?没人。他们核对的是印。

为什么这是一个很"亚洲"的故事

西方讲 SSO 的教程,大都从企业软件讲起:Okta、SAML、Azure AD、ADFS。那是一个关于员工和 HR 的故事。 但在中国,SSO 一开始就是消费级的故事。如果你在上海或成都读这篇文章,你的第一次 SSO 不是公司的 Okta 后台。是微信登录,是支付宝,是QQ 互联。你在上千个小服务——外卖、共享单车、拼团、小程序——里按下那颗"微信登录"按钮,从来不注册账号。微信替你背书,就够了。 这是一个悄悄塑造了整整一代人对网络身份认知的文化差异: - 西方的身份是分散的——散落在 Google、Apple、Facebook、GitHub,以及你 2018 年注册过的五十个创业公司里。每个都啃掉你的一角。 - 中国的身份是聚合的——收拢进几个超级应用,每一个都想当你整个数字生活的那扇窗。 哪个更好,没有标准答案。但如果你是被微信带大的,"一次登录,处处通行"对你根本不是什么新鲜概念。它就是你的日常。

健康码那一刻

2020 到 2022 年间在大陆生活过的人,都亲历过一件软件史上从没有以这种规模发生过的事:物理空间的 SSO。 健康码,技术上看,只是微信或支付宝里的一个小程序。你用实名、身份证号、手机号登录一次。之后,一个绿色的 QR 码就能让你进地铁、进公司、进商场、进医院、进自家小区。这是建筑物的 SSO。是一座城市的 SSO。 红码 = 印失效了。门不开。 你觉得这是 SSO 工程史上最优雅的一次落地,还是中心化身份的一则警世寓言——看你站哪边。大概两边都对。

30 秒讲明白它怎么跑起来

当前主流的 SSO 协议有两种:SAML(老一点,偏企业)和 OAuth / OIDC(新一点,所有消费级 SSO 底下跑的都是它)。细节不同,跳舞步骤都一样: 1. 你在 A 网站点"用 X 登录"。 2. A 把你丢到身份提供方 X。 3. 你在 X 登录——或者你本来就登着,那更好。 4. X 递给你一张签了名的 token:"这是用户 12345,有效期到 18:00,此致,X 敬上。" 5. 你把这张 token 交回 A。 6. A 验 X 的签名,读 token,放你进。 魔法在第 4 步——那个签名。A 从头到尾没见过你的密码。它只是信 X 的印。印真,门开。 所以 SSO 既比传统密码更安全,也更可怕。更安全:你的密码只住在一个地方,由一群偏执的安全工程师守着,而不是被你重复用在四十个网站上。更可怕:只要那一枚印被伪造,所有的门都开。

玉玺问题

玉玺是古代中国的皇家印章——一方玉石做的章,盖在每一道圣旨上。谁握着玉玺,谁就握着天下。多少朝代的更迭,本质上就是围绕谁实际拿到了那块玉。 SSO 在结构上有一模一样的性质。别人钓到你的微信账号,他拿到的不是微信——他拿到的是所有接受微信登录的小程序、所有绑着的支付方式、所有信任过那枚印的服务。企业级攻击者打穿了公司的 Okta,他获取的也不是 Okta——是你们公司所有接入 SSO 的 SaaS。 这就是那个取舍,说穿了:便利性越大,爆炸半径也越大。 好的 SSO 部署会用 MFA(多因素认证)、设备绑定、会话控制、严密监控来缓解这个问题。但物理定律不变。一印,一朝。

各地的口味

如果你在给亚洲市场造产品,你手里的 SSO 选项跟西方的教科书不一样: - 中国大陆——消费端:微信、QQ、支付宝、微博。办公端:钉钉、飞书、企业微信。Google / Facebook 登录不是选项,防火长城会把 OAuth 的那一跳切断。 - 台湾 / 香港——Line、Apple ID、Google 都常见;本地银行 SSO(比如 TW FidO)在成长。 - 日本——Line 统治社交 SSO,Yahoo! Japan 依然重要(是的,真的),Rakuten ID 撑电商。 - 韩国——KakaoTalk 和 Naver 几乎无所不在,Apple / Google 是备胎。 - 东南亚——混战。泰国是 Line,Grab ID 越来越普遍,印尼和菲律宾 Facebook 还很强。 如果你在亚洲做消费端产品,只支持 Google / Apple 登录——你基本上是在告诉十几亿人,他们的互联网不算数。

实名制的那层复杂

西方工程师常忽略的一个细节:大陆的实名制意味着你的手机号在法律上绑定你的身份证号。所以当你用微信或支付宝 SSO 进一个服务,你传过去的不只是一个用户名——是一份被验证过的法律身份,不管那个应用有没有问你要。 这改变了整个威胁模型。丢了 Google 账号,疼。丢了微信账号,你丢的是官方承认的你那个人——你的支付记录、聊天记录、健康档案、发票、连你楼下门禁的那个小程序。这更接近丢身份证,不像丢密码。 这也是为什么中国用户对 SSO 风险的直觉,往往比西方用户更敏锐。他们真真切切感受过玉玺的分量。

所以,你到底该不该用 SSO?

对用户: 该,几乎永远都该。一个强密码加上 MFA,锁在一个账号上——远远胜过四十个重复使用的密码散在四十个漏水的数据库里。别让"一个账号"变成"一个没保护的账号"。 对开发者: 该,但挑身份提供方要像挑担保人一样谨慎——因为它就是担保人。你在继承它的安全姿态、它的可用性、它的地理位置、它的政治。在亚洲做产品,就接亚洲的;做企业软件,就接企业级的。别把你自己都不愿意做担保的对象拉进来替你背书。 对所有人: 别忘了玉玺。谁握着印,谁就握着门。慎选印的主人。如果能,抽屉里藏一枚备用的。 毕竟,连关羽都不止带一张通行证。

《三國演義》裡,每個華人小孩都耳熟能詳的那一段:過五關斬六將——關羽為了跟結義大哥劉備重逢,硬是殺穿五道關卡,斬了六位大將。沒有通行證,沒有文書,沒有信任網絡。只有他的青龍偃月刀和赤兔馬。 這就是你,每一個早上。Gmail、Slack、Jira、Figma、GitLab、Notion、測試伺服器、分析儀表板、公司 wiki、VPN。六位大將,五道關卡。你連把刀都沒有。 SSO——Single Sign-On,單一登入——就是關羽當年沒有的那張通行證。

SSO 到底是什麼

把術語先放一邊。 單一登入的意思是:你只證明一次自己是誰,對一個信得過的第三方證明,然後它替你在所有其他地方背書。你登入一個東西。其他所有的,就……讓你進。 如果你點過 「用 Apple 登入」、「用 Google 登入」、「用 Line 登入」——恭喜,你用過 SSO。你沒另外註冊帳號,沒設新密碼。那個第三方隔著牆喊了一聲「自己人!」門就開了。 就這麼回事。這就是整個把戲。

腰牌這個比喻

古代中國,官吏和信差腰間都會繫著一塊腰牌——一枚小小的木牌或銅牌,掛在腰上,刻著印記。腰牌不說明你能做什麼,它說明是誰替你背書。你在城門口亮出一塊兵部的腰牌,守城的不會盤問你做什麼,他認的是印記背後的權威,抬手就讓你過。 今天的 SSO token,邏輯幾乎一模一樣。你登入一次之後,身分提供方——Google、Apple、公司的 Okta——會遞給你一塊數位腰牌(技術上叫 token,或者 assertion)。你到任何其他的應用程式,應用只檢查這塊腰牌上是誰的印,印對,就讓你進。 有誰在每道門核對你的密碼?沒有。他們核對的,是那枚印。

為什麼這是一個很「亞洲」的故事

西方講 SSO 的文章,大多從企業軟體講起:Okta、SAML、Azure AD、ADFS。那是一個關於員工和 HR 的故事。 但在亞洲,SSO 從一開始就是消費端的故事。你在台北或高雄讀這篇文章,你的第一次 SSO 大概不是公司的 Okta,是 Line,是 Apple ID,是 Google 登入。在大陸就更極端,整個網絡被 微信、支付寶 這類超級應用串起來,一個按鈕打遍天下。你在上百個小服務裡按下那顆按鈕,從來沒為它們個別註冊過帳號。某個巨頭替你背書,就夠了。 這是一個悄悄塑造了整整一代人對網路身分認知的文化差異: - 西方的身分是分散的——散落在 Google、Apple、Facebook、GitHub,以及你 2018 年註冊過的五十個新創公司。每個都啃掉你的一角。 - 亞洲(尤其是中國大陸)的身分偏向聚合——收進少數幾個超級應用裡,每一個都想成為你整個數位生活的那扇窗。 哪種比較好沒有標準答案。但如果你是被 Line 或微信帶大的,「一次登入處處通行」根本不是什麼新概念。那是你的每一個禮拜二。

健康碼那一刻

2020 到 2022 年間在大陸生活過的人,都親身經歷過一件軟體史上從沒有以這種規模發生過的事:物理空間的 SSO。 健康碼,技術上看,只是微信或支付寶裡的一個小程式。你用實名、身分證號、手機號登入一次。之後,一個綠色的 QR code 就能讓你進捷運、進公司、進商場、進醫院、進自家社區。這是建築物的 SSO。是一整座城市的 SSO。 紅碼 = 印被撤了。門不開。 你覺得這是 SSO 工程史上最優雅的一次落地,還是中心化身分的一則警世寓言——看你站哪邊。大概兩邊都對。 台灣在疫情期間用的是簡訊實聯制——掃 QR 發一封簡訊,原理完全不同,強度也輕很多。但它也讓一些人第一次意識到:一支手機號、一個身分、一座城市的進出權,是可以被縫在一起的。這也是 SSO 思想的一種變形。

30 秒講明白它怎麼運作

目前主流的 SSO 協議有兩種:SAML(比較老,偏企業)和 OAuth / OIDC(比較新,所有消費級 SSO 底下跑的都是它)。細節不同,但跳的舞步都一樣: 1. 你在網站 A 點「用 X 登入」。 2. A 把你丟到身分提供方 X。 3. 你在 X 登入——或你本來就登著,那更好。 4. X 遞給你一張簽了名的 token:「這是使用者 12345,有效期到 18:00,簽名:X。」 5. 你把這張 token 交回給 A。 6. A 驗 X 的簽名,讀 token,讓你進。 魔法在第 4 步——那個簽名。A 從頭到尾沒看過你的密碼。它只是信 X 的印。印是真的,門就開。 所以 SSO 既比傳統密碼更安全,也更可怕。更安全:你的密碼只住在一個地方,由一群偏執的資安工程師守著,而不是被你重複用在四十個網站上。更可怕:只要那一枚印被偽造,所有的門都開。

玉璽問題

玉璽是古代中國的皇家印章——一方玉石做的章,蓋在每一道聖旨上。誰握著玉璽,誰就握著天下。多少朝代的更迭,本質上就是圍繞誰實際拿到了那塊玉。 SSO 在結構上有一模一樣的性質。別人釣到你的 Line 帳號,他拿到的不只是 Line——他拿到的是所有用 Line 登入的服務、所有綁定的支付方式、所有信任過那枚印的地方。企業攻擊者打穿了你公司的 Okta,他獲取的也不是 Okta——而是你們公司所有透過 SSO 接入的 SaaS。 這就是那個取捨,講白了:便利能夠規模化,爆炸半徑也能夠規模化。 好的 SSO 部署會用 MFA(多因子認證)、裝置綁定、Session 控制、嚴密監控來緩解這個問題。但物理定律不會改變。一印,一朝。

各地的口味

如果你要為亞洲市場做產品,你手上的 SSO 選項跟西方的教科書不一樣: - 台灣 / 香港——Line、Apple ID、Google 都很普遍;本地銀行 SSO(例如 TW FidO)正在長大。企業端 Microsoft 365 和 Google Workspace 並行。 - 中國大陸——消費端:微信、QQ、支付寶、微博。辦公端:釘釘、飛書、企業微信。Google / Facebook 登入不是選項,防火長城會把 OAuth 的那一跳切斷。 - 日本——Line 統治社交 SSO,Yahoo! Japan 仍然重要(真的),Rakuten ID 撐電商。 - 韓國——KakaoTalk 和 Naver 幾乎無所不在,Apple / Google 是備胎。 - 東南亞——混戰。泰國是 Line,Grab ID 越來越普遍,印尼和菲律賓 Facebook 還很強。 如果你在亞洲做消費端產品,只支援 Google / Apple 登入——你基本上是在告訴十幾億人,他們的網路不算數。

實名與不實名的兩個世界

有一個西方工程師常忽略的細節:大陸的實名制意味著你的手機號在法律上綁定你的身分證號。所以當你用微信或支付寶 SSO 進一個服務,你傳過去的不只是一個使用者名稱——是一份被驗證過的法律身分,不管那個應用問沒問你要。 台灣沒有同樣強度的實名制,但 Apple ID 和 Google 帳號早就綁了你的信用卡、你的通訊錄、你的雙重驗證。強度不同,後果類似——SSO 帳號被拿走,等於你的數位生活半壁江山被拿走。 這也是為什麼對 SSO 風險的直覺,東亞使用者往往比西方使用者更敏銳。我們都真真切切感受過玉璽的分量。

所以,到底該不該用 SSO?

對使用者: 該,幾乎總是該。一個強密碼加上 MFA,鎖在一個帳號上——遠遠勝過四十個重複使用的密碼散落在四十個漏水的資料庫裡。只是別讓「一個帳號」變成「一個沒保護的帳號」。 對開發者: 該,但挑身分提供方要像挑擔保人一樣——因為它就是擔保人。你在繼承它的資安水準、它的可用性、它的地理位置、它的政治。在亞洲做產品,就接亞洲的;做企業軟體,就接企業級的。別把一個你自己都不願意幫它背書的對象拉來替你背書。 對所有人: 別忘了玉璽。誰握著印,誰就握著門。挑主人要慎重。如果可以,抽屜裡還藏一枚備用的。 畢竟,連關羽都不只帶一張通行證。