单点登录实践历程

用户登录需求fist：第一次登录后，多个页面获取登录信息，打开浏览器期间，不用再登录？

将用户信息记录在客户端cookie中，多次请求，检查cookie，决定是否跳转登录页面,用户信息也从cookie中获取。

Created with Raphaël 2.1.0一次请求检查cookie中是否有userkey权限验证成功,通过userkey取用户信息。跳转登录页面登录后记录用户信息到cookie中userkeyyesno

实现了cookie有效期间（默认浏览器打开时间，可以设置失效），一次登录,多次访问。这种解决办法暴露的问题： cookie中直接存明文信息，不安全，用户信息可以伪造。解决办法：将用户信息加密后存cookie中，登录时可通过sdk的解密方法获取用户信息。

第一次改进：

Created with Raphaël 2.1.0一次请求cookie中是否有userkey,userkey的信息能否成功解密权获取用户信息。跳转登录页面登录后将用户信息加密记录到cookie中userkey，yesno

改进实现了对用户信息的加密，并且不能伪造cookie信息进行登录这种解决办法仍存在问题：

一个请求取用户信息需要经过两次解密操作，第一次是在拦截器中，第二次是在controler中（如果更多的拦截器，需要多次解密）

第二次改进

在第一个拦截器中进行解密后，组装一个userticket对象放置到threadlocal中，实现资源本地化，保证一次请求的过程中多个拦截器和controler共享一个userticket，不用每次调用三方解密算法获取用户信息。

Created with Raphaël 2.1.0一次请求cookie中是否有userkey生成ticket,放进threadlocal中。threadlocal中是否有ticket，清除ticketyesnoyes

这个初始拦截器ticketContextInterceptor 可以对ticket环境进行设置，所有页面都用，后面再接一个拦截器 ticketInterceptor，如果有ticket则 OK,没有则重定向到登录页面。

拦截器中清除threadlocal中ticket的原因是: web服务器也是用的线程池，可能多个请求到了一个线程（复用)，而ticket在每一个线程中是资源本地化的，如果不在拦截器清除，可能多个请求复用了一个ticket。