SSO方案进展

       周看了资料， josso是通过cookie来实现SSO的，看来是不支持跨域。
       如果把用户信息加在url上来传送，也未尝不可，这样做，不好之处是把多个系统直接粘连了，藕合太强。而且，只能适用于当前页面上的一个跳转，如果关掉了当前页面，然后再访问联合网站，就还得重新输入用户名和密码。原来担心用户信息的泄露，看来这只是一方面的问题。严格来讲，这不是完全的SSO.
        现在考虑web service的方式来实现。Services只需要提供一个函数，返回True or False。
各系统首先进行自己的验证，如果没通过，再调用这个函数。
18日，对SSO进行反思：即使达到了单一登入，各系统在非登录页面中对权限/用户信息方面的验证也不同。SSO能兼顾吗？会不会把事情弄得越发复杂呢？
参考文章
http://www.ronghai.com/solution/2004-09/627/627_1.html
这篇文章看了之后，有一个疑问：既然用了webservice来验证，为何还要考虑客户端是B/S还是C/S呢？而且还要用cookie，有必要吗？