单点登录是要求客户端保存用户登录的票据（ticket）的（简化一点，也可以是会话id）
对于不同子域名下，是可以这么做的。通常cookie中，只保存session的标识（id），或者与sessionId一一对应的key。
在访问重要的资源时（不同子域名下），可以要求用户重新输入一次登录密码，或者输入其他用户的安全码。
可以使用 httponly 提高安全属性，但也不能完全防止xss攻击。

1. 新版统一请求协议在 Redis 1.2 版本中引入， 并最终在 Redis 2.0 版本成为 Redis 服务器通信的标准方式。

2. 你的 Redis 客户端应该按照这个新版协议来进行实现。

3. 在这个协议中， 所有发送至 Redis 服务器的参数都是二进制安全（binary safe）的。 

实现思路
1.我们知道session其实是在cookie中保存了一个sessionid，用户每次访问都将sessionid发给服务器，服务器通过ID查找用户对应的状态数据。
在这里我的处理方式也是在cookie中定义一个sessionid，程序需要取得用户状态时将sessionid做为key在Redis中查找。
2.同时session支持用户在一定时间不访问将session回收。