Java中无Cookie的单点登录

我一直在面对我的经理提出的问题，如果客户端禁用cookie，SSO将如何工作，但我没有任何答案。我们目前正在使用JOSSO进行单点登录。我们是否有任何开源框架支持单点登录而不使用烹饪机制。

如果没有cookie，您将不得不在每个url请求中嵌入一些参数。e、 g.登录后，为用户分配一些任意id，并将其嵌入每个链接中，如

http://mydomain.com/main?sessionid=123422234235235

。它可能会变得相当混乱，因为每一个链接都必须在它出去之前修复，这会减慢你的内容。它还具有安全性、日志记录和会话历史含义，当状态处于cookie中时，这些含义并不是什么大问题

在登录用户上执行简单的cookie测试可能更简单，如果他们没有启用cookie，则将他们发送到错误页面。

项目将“票证”作为url查询参数从登录服务器传递到消费应用程序，然后，消费应用程序向登录服务器发出反向通道请求，以验证票据的真实性。这消除了对cookie的需求，因此可以跨域工作，但有点“闲聊”

另一个可能更健壮的解决方案是使用基于SAML的产品，SAML是跨域单点登录的行业标准。有一些开源产品使用SAML，CAS本身有一个SAML扩展，但是它们的设置通常非常复杂。它也基于SAML，使用起来更简单。Cloudseal平台本身作为托管服务提供，但所有客户端库都是开源的

当然，使用所有这些解决方案，您只需将安全上下文从一台服务器传递到另一台服务器，消费应用程序无疑将创建自己的本地会话，因此您需要使用URL重写而不是cookie

免责声明：我为Cloudseal工作：）