單點登錄是要求客戶端保存用戶登錄的票據(jù)（ticket）的（簡化一點，也可以是會話id）
對于不同子域名下，是可以這么做的。通常cookie中，只保存session的標(biāo)識（id），或者與sessionId一一對應(yīng)的key。
在訪問重要的資源時（不同子域名下），可以要求用戶重新輸入一次登錄密碼，或者輸入其他用戶的安全碼。
可以使用 httponly 提高安全屬性，但也不能完全防止xss攻擊。

1. 新版統(tǒng)一請求協(xié)議在 Redis 1.2 版本中引入， 并最終在 Redis 2.0 版本成為 Redis 服務(wù)器通信的標(biāo)準(zhǔn)方式。

2. 你的 Redis 客戶端應(yīng)該按照這個新版協(xié)議來進行實現(xiàn)。

3. 在這個協(xié)議中， 所有發(fā)送至 Redis 服務(wù)器的參數(shù)都是二進制安全（binary safe）的。 

實現(xiàn)思路
1.我們知道session其實是在cookie中保存了一個sessionid，用戶每次訪問都將sessionid發(fā)給服務(wù)器，服務(wù)器通過ID查找用戶對應(yīng)的狀態(tài)數(shù)據(jù)。
在這里我的處理方式也是在cookie中定義一個sessionid，程序需要取得用戶狀態(tài)時將sessionid做為key在Redis中查找。
2.同時session支持用戶在一定時間不訪問將session回收。