원리는 그렇게 어려운 것이 아니며 또 구현하기 나름입니다.

예를 들어 A1 서버쪽의 DB와 B1쪽의 DB에 똑같은 아이디가 존재해야 된다는 조건이 붙겠죠.

그래야 A1쪽에서 로그인한 후(세션생성) B1쪽으로 넘어갈 때 그냥 아이디만 비교해서 SSO를 적용시키는 원리이죠.

그러나 로그인된 A1쪽에서 B1쪽으로 넘어갈 때(즉, 로그인된 A1에서 B1 사이트 클릭 시) token이라는 것을 생성하게 됩니다. 그런 연후에 or 그렇게 해야 B1쪽에서는 이 녀석(A1쪽의 세션)이 B1쪽의 세션(B1에서 로그인된 세션)인지 SSO를 이용한 녀석인지를 구분할 수 있겠죠.

물론, SSO는 위에서도 이야기했지만 암호체크는 필요없겠죠. 기존의 로그인된 녀석이 세션이 있기 때문에 암호체크 로직을 타지 않는 것처럼 말이죠.