这是自己一个小项目登录的真实设计，但是是让 AI 帮忙总结的 HLD。

🧱 一、系统背景

1. 第三方 SSO 登录流程

• 用户点击“登录”按钮，将跳转至第三方 SSO 登录页面
• 登录成功后，第三方将用户 重定向回前端页面，并在 URL 中 携带 session-token

例如：

<https://frontend.example.com/login?session-token=abc123>

🔐 二、认证流程设计

1. 登录流程（处理 session-token）

前端在登录页接收到 session-token 后：

[SSO 登录成功]
     ↓
[前端登录页接收 session-token]
     ↓
[调用后端 /api/auth/validate-session]
     ↓
[后端验证 token → 设置 HttpOnly Cookie]
     ↓
[前端拉取用户信息，存入内存]

🔄 三、前后端交互流程

✅ 前端请求设置（React）

fetch('<https://api.example.com/api/auth/validate-session>', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
  },
  body: JSON.stringify({ sessionToken }),
  credentials: 'include', // 关键：允许带 cookie
})

• 所有接口请求都需设置：credentials: 'include'
• Axios 示例：axios.post(..., { withCredentials: true })

✅ 后端响应设置（Next.js）