先簡單說一下單點登入：

把登入的部分單獨拿出來作為一個專案,專門用來登入。

當我想訪問某個子專案或者模組的時候，會先請求登入的部分，如果登入過了，就不需要再登入了。

這個和單獨專案時，把userId放到session中道理是一樣的。

因為多個子專案在不同的tomcat，無法實現session共享，這時我們可以利用cookie。

多說幾句關於cookie和session的區別：

cookie是針對於瀏覽器的，session是針對伺服器的。

cookie的產生會有JSessionId，也就是session的唯一憑證。

cookie是當前瀏覽器對該父域名用作資料共享和記錄的。

session是在伺服器上開闢了一塊記憶體，用於當前session(同一JSessionId)使用者的資料共享。

關於cookie和session的區別，只是個人理解，有不同的看法可以提，多交流。

說一下流程：

使用者在一個模組登入，會進到登入系統，先驗證你的使用者名稱和密碼是否正確，如果正確。

會產生一個唯一票據，我們這裡叫他token,把這個token放到redis中，存放方式是這樣的。

redis.put(token,userId);//儲存一條對應使用者資訊的token

redis,put("your setting",token);//再儲存一條對應userId的唯一標識，your setting可以寫成loginSys+userId

為什麼要這麼存，正常的思路是隻存上面一條就行了，稍後解答。

我們把token返回，response.addCookie(new Cookie("my cookie",token));//這裡的my cookie可以寫成loingSysCookie

流程實現是這樣的,需要設定過期時間等等引數，這裡就不寫了。

這時候只要是同一瀏覽器，就會帶著這個cookie，訪問該專案下的子專案(父級域名下的子級域名,比如www.baidu.com和mp3.baidu.com的關係)，

進入登入系統，拿到token，進到redis中比對，是否有使用者就可以了，如果有，就不需要再登入了。

下面說一下上面的疑問：

當我再一次登入系統的時候，先去找redis中的redis,get("your setting")是否為空，已經在別處登入過的使用者,可以取到他的token，

redis.del(token),這樣就實現了單點登入，同步登出。

之後再設定redis和cookie，方法同上。

很多沒有redis中放第二條，就無法實現單點登入同步登出，雖然設定了過期時間，但使用者體驗和安全性還是差一點。