单点登录

前几个段落论述的验证方案掩盖了一个重要的步骤。在检验用户的验证请求时，要使用 Access Manager 的会话服务 (4)，如图 3–2 中所示。该会话服务会生成一个会话令牌，其中包含用户的身份信息和令牌 ID (5)。该会话令牌将被回送给策略代理 (6)，策略代理会将该令牌（以 cookie 形式）转发给发出验证请求的浏览器 (7)。

当经过验证的用户试图访问其他受安全保护的服务时，浏览器会将会话令牌传递给相应的策略代理。该策略代理会向会话服务核实用户先前进行的验证是否依然有效，如果有效，将准许用户访问第二项服务，而不会要求重新输入用户 ID 和密码。

于是，用户只需登录一次，即可得到验证以访问 Java ES 所提供的多项基于 Web 的服务。单点登录验证在用户明确注销或会话到期之前一直有效。