單點登錄是要求客戶端保存用戶登錄的票據（ticket）的（簡化一點，也可以是會話id）
對于不同子域名下，是可以這么做的。通常cookie中，只保存session的標識（id），或者與sessionId一一對應的key。
在訪問重要的資源時（不同子域名下），可以要求用戶重新輸入一次登錄密碼，或者輸入其他用戶的安全碼。
可以使用 httponly 提高安全屬性，但也不能完全防止xss攻擊。

1. 新版統一請求協議在 Redis 1.2 版本中引入， 并最終在 Redis 2.0 版本成為 Redis 服務器通信的標準方式。

2. 你的 Redis 客戶端應該按照這個新版協議來進行實現。

3. 在這個協議中， 所有發送至 Redis 服務器的參數都是二進制安全（binary safe）的。 

實現思路
1.我們知道session其實是在cookie中保存了一個sessionid，用戶每次訪問都將sessionid發給服務器，服務器通過ID查找用戶對應的狀態數據。
在這里我的處理方式也是在cookie中定義一個sessionid，程序需要取得用戶狀態時將sessionid做為key在Redis中查找。
2.同時session支持用戶在一定時間不訪問將session回收。