一些扩展及问题
主要是通过例子理解SSO。 我感觉,实际上,SSO服务器除了验证外,还应该保存已登录用户的token。 A域第一次登录成功后,生成票据给A并保存用户信息在SSO服务器上,A则保存票据,并在Session中记录登录情况,下次就不需要再向SSO服务器发送验证请求了,只有检测Session即可,而对于B域的第一次请求,应该向SSO查询用户是否已经登录,如果登录了,直接获取用户信息即可,并保存到自己的Session中,原理同A。 其中关键是A如何把票据让B在第一次登录时发送给SSO,这个还没想明白?
