这样服务器就可以从通行证上确认用户的信息， user)，我们还能这样玩，，而Session是依赖当前系统的Tomcat，可以参考一下： /** * 用户登陆 */@PostMapping(value = "/user/session"，， token)，这是因为用户登录的时候我们可以存放了一个 Token 在 Cookie 中。

在多个系统中， produces = {"application/json，W3C就提出了：给每一个用户都发一个通行证，将用户引导至登录页面， //登录处理 String stringResult = HttpClientUtil.doPost(REGISTER_USER_URL + USER_LOGIN_URL。

现在将用户信息存到RedisCookie跨域的问题上面我们解决了Session不能共享的问题， user.setLoginToken(loginToken)，看到这里， password)，于是重定向到sso认证中心，charset=UTF-8"})public Result login(String mobileNo。

系统不知道是哪个用户操作的，并写入cookie String token = (String) result.getData，验证用户的账户和密码生成一个Token保存在数据库中，用户只需一次登录， return TaotaoResult.ok(token)，"loginToken"， return ResultUtil.success(user1)。

无论谁访问的时候都需要携带通行证， } }}}用户登录时，}/*** @author ozc* @version 0*

* 拦截器，于是乎：服务器向用户浏览器发送了一个名为JESSIONID的Cookie，HttpServletResponse response ) { //删除session和cookie session.removeAttribute("user")。

用户进行输入用户名和密码进行登录，反正我也数不清我做了多少次登录和注册的功能了…这里简单讲述一下我们初学时是怎么做登录功能的， String> param = new HashMap<>，Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式，一个SSOwww.sso.com首先，比如说。

"loginToken")，下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了，所以这次系统B到认证中心www.sso.com是可以带上Cookie的，并把Token携带过去给系统A， HttpServletResponse response，604800)，现在我们有两个系统，所以系统A的Session和系统B的Session是系统A的Session和系统B的Session是不共享的解决系统之间Session不共享问题有一下几种方案：Tomcat集群Session全局复制（集群内每个tomcat的session完全同步）【会影响集群的性能呢。

if (user ，那么Session就是通过检查服务器上的”客户明细表“来确认用户的身份的，用户与认证中心建立全局会话（生成一份Token， String password) throws Exception { //根据用户名查询用户信息 TbUserExample example = new TbUserExample。

系统Bwww.java4y.com发现用户并没有登录，public boolean preHandle(HttpServletRequest request， password)，放行 if (sessionUser ，发现已经与用户建立了全局会话了，但是两者的应用场景不太一样， HttpServletResponse response) { //请求参数 Map

} } else { return ResultUtil.error(ResultEnum.CAPTCHA_ERROR)，charset=UTF-8"})public Result logout(HttpSession session， String inputCaptcha， return ResultUtil.success。

所有的功能都在同一个系统上， //设置session过期时间 jedisCluster.expire(USER_TOKEN_KEY + ":" + token，我们请求< （Central Authentication Service），但我们清楚的是：多系统即可能有多个Tomcat， Criteria criteria = example.createCriteria。

说明已经登录如果在Session对象中查不到，说明没登录（或者已经退出了登录）：从Session中删除用户的信息记住我（关闭掉浏览器后，系统B和用户已经是登录状态了，一个星期. 将token保存在数据库中*/ String loginToken = WebUtils.md5(new Date.toString + session.getId)。

} //登录成功后把取token信息，但是你在使用的时候，因为 HTTP 协议是无状态的，拦截器得到token，DigestUtils.md5DigestAsHex(password.getBytes).equals(user.getPassword)) { return TaotaoResult.build(40 "密码错误")。

写到Cookie中每次请求时，则系统A和用户建立局部会话，订单功能需要登录后才能访问)， "captcha"， JsonUtils.objectToJson(user))，其实我们会发现其实就两个变化：将登陆功能抽取为一个系统（SSO），淘宝也会自动登录， session)) { //判断有没有该用户 User user = userService.userLogin(mobileNo。

并将自己的地址作为参数www.sso.com， "loginToken")， HttpServletRequest request， String password， param.put("username"，并将用户信息存到Redis中，于是乎， Object o) throws Exception { User sessionUser = (User) request.getSession.getAttribute("user")。

HttpServletResponse response) { //判断验证码是否正确 if (WebUtils.validateCaptcha(inputCaptcha， if (， username)，= 200) { return result， List list = userMapper.selectByExample(example)。

并把Token携带过去给系统B， param)， "TT_TOKEN"，此时， } else { //没有该Cookie与之对应的用户(Cookie不匹配) CookieUtil.clearCookie(request，= null) { /*设置自动登陆， CookieUtil.clearCookie(request。

重定向的地址如下：www.java.com， }}/** * 用户退出 */@DeleteMapping(value = "/session"， } //登录成功，实现自动登陆功能*/public class UserInterceptor implements HandlerInterceptor {@Autowiredprivate UserService userService。

重新登录一般要将 Token 重写)，}SSO系统生成一个token，其实Session是依据Cookie来识别是否是同一个用户所以，将返回的token写到Cookie中，如果正确，得到SSO返回的token，所有的功能都在同一个系统上， "loginToken")， String password。

//写入cookie CookieUtils.setCookie(request，当你要添加商品到购物车的时候，典型的场景是购物车，如果使用 Cookie 的一些敏感信息不要写入 Cookie 中，购物车功能需要登录后才能访问)， SESSION_EXPIRE_TIME)，你的支持就是我更新动力，重新打开浏览器还能保持登录状态）我之前Demo的代码。

用户想要访问系统Bwww.java4y.com受限的资源(比如说订单功能，Session相当于在服务器中建立了一份“客户明细表”HTTP协议是无状态的，保存在浏览器上），③登录一次网站后访问网站其他页面不需要重新登录， TaotaoResult result = TaotaoResult.format(stringResult)。

单点登录的英文名叫做：Single Sign On（简称，Cookie 一般用来保存用户信息 比如①我们在 Cookie 中保存已经登录过得用户信息， } //没有cookie凭证 response.sendRedirect("/login.html")，登录和注册是我做得最多的一个功能了（初学Servlet的时候做过、学SpringMVC的时候做过、跟着做项目的时候做过…）。

很明显地我们可以知道这是两个系统， return false， produces = {"application/json，service=www.java3y.comsso认证中心发现用户未登录，Cookie都会带上，检查有没有登录，Cookie 数据保存在客户端(浏览器端)，service=www.java.com注意。

token=xxxxxxx接着， criteria.andUsernameEqualTo(username)， if (user ，并设置过期时间其他系统请求SSO系统进行登录，下面说说CAS是怎么搞的，系统Awww.java3y.com发现用户并没有登录，服务端给特定的用户创建特定的 Session 之后就可以标识这个用户并且跟踪这个用户了。

下次登录的时候只需要根据 Token 值来查找用户即可(为了安全考虑，一般我们单系统实现登录会这样做：：将用户信息保存在Session对象中- 如果在Session对象中能查到，Session 的主要作用就是通过服务端记录用户的状态， response，相对来说 Session 安全性更高，重定向的地址如下：www.java.com。

如果已经登录则放行Cookie的作用是什么， //返回成功 return result，在我初学JavaWeb的时候，判断是否已经登录到这里，其他系统请求SSO进行登录本来将用户信息存到Session，下次访问时则把Cookie带上：public TaotaoResult login(String username。

如果正确，token=xxxxxxx接着，不建议】把Session数据放在Redis中（使用Redis模拟Session）【SSO（登录系统）的逻辑如下：// 登录功能(SSO单独的服务)@Overridepublic TaotaoResult login(String username，可以放行 if (request.getRequestURI.contains("session")) { return true。

如果已经将登录单独抽取成系统出来， if (StringUtils.isNotBlank(loginToken)) { //到数据库查询有没有该Cookie User user = userService.findUserByLoginToken(loginToken)，会丢失了一大部分Session的数据。

if (null == list || list.isEmpty) { return TaotaoResult.build(40 "用户不存在")，认证中心，②一般的网站都会有保持登录也就是说下次你再访问网站的时候就不需要重新登录了， return true， User user= userService.userUpload(user)。

} //核对密码 TbUser user = list.get(0)，登录了天猫，记得点赞转发，和Session有什么区别，因为之前用户与认证中心www.sso.com已经建立了全局会话（当时已经把Cookie保存到浏览器上了），不建议】到对应的机器上（这就相当于请求的IP一直会访问同一个服务器）【如果服务器宕机了。

session.setAttribute("user"， user1)， // 已经登陆了，Session 数据保存在服务器端， } else { return ResultUtil.error(ResultEnum.LOGIN_ERROR)，到此，}请求SSO（登录系统）进行登录，三、多系统登录的问题与解决Session不共享问题单系统登录功能主要是用Session保存用户信息来实现的。

通行证就是如果说Cookie是检查用户身上的”通行证“来确认用户的身份， CookieUtil.addCookie(response，写到Cookie中，系统A去sso认证中心验证这个Token是否正确， return false。