sso单点登录解析，设计

最近看了单点登录，总结一下自己的理解，还望大佬斧正。
说道单点登录，先解释几个名词。
令牌(token)：随机生成的唯一字符串，方式多样，可以用uuid等。
session：会话，有全局会话和局部会话。
tomcat通过令牌创建会话，session是由tomcat在内存中管理的。

再说单点登录的架构，单点登录存在于集群架构中。由一个服务器专门负责session管理，所有登录都要经过这个服务器。
举例说明，3个tomcat服务器，tomcat分别命名为sso,order,goods(方便说明用).
sso是单点登录，order是订单系统，goods是商品系统。
sso创建的session叫做全局会话。
order,goods创建的会话叫局部会话。

下面所说的系统间的跳转都可以用重定向实现。
用户访问order系统，order系统发现没有session，就要跳转到sso，sso发现也没有session信息，就弹出登陆页面，用户输入用户名密码后，sso验证成功后，sso创建token令牌，并用令牌创建session，这个session是全局会话。同时跳转到订单系统此时携带token。order拿到token后，再次请求sso验证token有效性。sso返回验证成功，
则此时order根据令牌创建session，order创建的session叫局部会话。此后，用户可以与order正常交互，每次请求携带token信息。如果此时用户访问会员系统，goods根据用户的请求拿到token，发现本地没有session，就跳转到sso，sso根据token发现会话已经创建，就直接返回验证成功。goods收到正确返回后，根据token创建session（也是局部session），此后用户也可以与goods正确交互。哈哈，所谓单点登录简单来说就是登录一次，各个系统不需要重复登录，但又要保证系统安全性。

下面再说一下注销，用户在order，goods发出注销请求，都会先到sso，sso先将本地session注销掉，也就是全局会话销毁。然后向各个子系统发送注销指令，各个子系统将局部会话销毁完成。这里有一个问题，sso如何知道各个子系统的地址，原因在于子系统在创建局部会话之前，都要用token在sso验证。此时sso将各个子系统的地址记录下来。

再说sso的设计，sso可以将session放入redis中。每次请求的拦截可以用拦截器，过滤器实现。