• 登錄時生成會話令牌。
• 將該會話令牌存儲在數據庫中。
• 在身份驗證時檢查有效的會話令牌。

您所擁有的幾乎全部。只要考慮一下您是否想一次擁有多個有效會話，以及如何終止會話即可。

編輯下面的瘋狂評論線程

雖然可以向客戶端提供經過第二服​​務器驗證的令牌，而無需與第一服務器進行通信，但這很醜陋，並且涉及很多工作。這種情況不允許客戶端使會話無效，除非客戶端負責。傳遞令牌時還需要一定的時間窗口，令牌的時間戳，第二系統對令牌的跟踪，令牌傳遞中的簽名或HMAC等。除非這兩個系統在Internet上無法互相看到，否則請避免

我認為這兩個系統都可以訪問相同的數據庫，但是如果由於某些原因它們無法訪問，則將第二個系統公開的API可以遠程驗證也很合適（

如果沒有SSL，則無法採取任何措施通過Firesheep / MITM攻擊來防止會話劫持。

我的建議是使用一個用於主要用戶身份驗證的Web應用程序。

注意：由於Cookie的性質，該方法僅在Web應用程序共享公共域時才有效。 （即appone.example.com和apptwo.example.com）。
openid可以執行類似的操作，但是繞過了cookie問題，您可能想了解一下。

這將如何工作

1. 用戶將瀏覽器指向AppA。AppA檢查有效的cookie /會話/其他內容。
   1. 首先檢查其自己的會話/ cookie信息。
   2. 。如果找不到它自己的cookie，它將查找Auth App的“傳輸” cookie。
      1. 如果找到，則為該應用創建一個新會話。用戶剛剛登錄。
      ol>
   ol>
2. 當發現該用戶名無效或丟失時，會將頁面轉發到Auth App。
>
3. Auth App會在其末尾檢查是否有有效的會話。
   1. 當發現缺少該會話時，會顯示一個登錄屏幕，等等。
   ol>
4. 具有有效會話的Auth應用程序將為該應用程序設置一個特定的“傳輸” cookie，並將該人重定向回應用程序A。
ol>

您應在其中添加其他信息此類傳輸cookie，例如-

1. 用戶名
2. AuthTime
3. IP地址。
4. 隨機數。
ol>

請參見以下示例。 https://www.login.mtu.edu/docs/public/mtuiso/howitworks2.html

從用戶的角度來看這幾乎是看不到的。例如。

1. 用戶將瀏覽器指向應用A。
2. 應用A確實使用Auth App進行身份驗證。 （要求用戶登錄等）。
3. 用戶單擊轉發到應用程序B的鏈接。
4. 應用程序B與Auth App進行身份驗證。 （這一次Auth應用本身已經具有cookie。）
   1. App B轉發到Auth App。
   2. Auth App找到cookie，然後立即創建傳輸cookie並轉發到App B
   3. 用戶甚至沒有註意到這一點，並立即在App B中發現自己。
   ol>
ol>

四個選項，第一個是成本（金錢和性能都最高），第三個是最便宜的

1. 部署Siteminder，Novell，Tivoli等解決方案

   li>

2. 維護數據庫中的會話狀態。為此。這種方法的問題在於，將很難跟踪註銷，會話到期以及在兩個應用程序之間傳播此信息。因為在每個請求之前查詢數據庫會非常昂貴

3. 使用第三個應用程序來管理會話狀態。此應用程序不只向最終用戶開放，僅在網絡中受限制，只能訪問兩個應用程序。它在應用程序上下文中存儲所有用戶的狀態，並且兩個應用程序向該應用程序發送請求

   On登錄事件關於註銷事件關於會話到期事件，在處理任何檢查會話有效性的請求之前

4. 使用cookie（假設兩個應用程序共享相同的父域）

   創建一個包含用戶名+ salt / ecret密鑰的cookie，此加密的Secret密鑰和加密密鑰都與兩個應用程序一起使用來自用戶的任何請求都將攜帶此cookie（Cookie路徑設置為/）因此，如果Cookie包含用戶名，則其他應用程序會信任用戶在其他應用程序上登錄

ol>