?原貼地址: http://yuwang881.blog.sohu.com/3632369.html
在我寫了SSO的文章以后，有幾個網友希望我能提一提跨domain的SSO的實現方法。其實，它的實現方法有很多，如果不象JES Access Manager那樣要考慮性能和安全性的問題，我下面可以給出很簡單的解決方案。

跨domain的SSO的主要難點在于瀏覽器如何設置不同domain的cookie。所有的cookie都有一個范圍，叫domain，如“.sun.com”。這個范圍規定了只有在訪問相同domain的時候，瀏覽器才會將此cookie帶上。因此，如果SSO服務的domain和Web應用的domain不相同的情況下，就算當前瀏覽器已經登錄過SSO的服務，Web應用的Agent(Filter)也不能知道。因為SSO服務給此瀏覽器設置的cookie是Domain A的，在訪問domain B的時候，這個cookie是不會帶去的。

另外，在servlet的API中，在設置cookie的時候是可以選擇此cookie生效的domain--setDomain()方法。知道這個以后，請看下圖的解釋

如上圖，我們只需要將SSO服務稍微改動就能完成跨domain的SSO的功能。

讓我們一步步來看是如何實現的：通過步驟1、2，假設我們訪問過Domain A中的應用1，并且登錄了SSO，獲得了Domain A的cookie。步驟3在訪問Domain B的應用2的時候，顯然此Web應用2的Agent不會發現這個cookie，因為這是Domain B。

步驟4，Web應用2的Agent給瀏覽器發出重新定向到SSO登錄頁面的指令（詳細過程和原理請閱讀文章本身）。步驟5，瀏覽器去訪問SSO的登錄頁面。到此為止，和原來的實現過程都沒有什么變化。

但是，SSO在返回給瀏覽器登錄頁面之前，可以執行一個附加的操作，檢查一下當前請求是否帶有cookie。值得注意的是，在這次訪問當中，瀏覽器的確是將先前登錄成功的cookie帶來了，因為這是Domain A。在這個附加的操作中，我們可以去判斷這個cookie是否真的有效。

如果這個cookie真的有效，這個附加的操作需要做的是給瀏覽器再設置一個cookie，cookie的名字和數值都和原來一樣，domain的范圍設置為"Domain B"，并且讓瀏覽器重新定向到剛才的請求上（Web應用2的請求）。這個請求的URL可以從“goto”的參數中獲得（詳細過程和原理請閱讀文章本身）。

瀏覽器再次訪問Web應用2的時候，它所希望的cookie就已經在了。

從用戶的角度說，可能會發現瀏覽器有幾次閃動和交互，但這都是自動的。