项目中时常遇到这样的场景，一个公司，好几个项目，项目A是在移动终端，登陆后，需要跳转到B项目的活动页面，而且是不需要再次登录B项目，直接就能在B项目活动里抽奖或者购买东西。如果只是功能上实现，容易实现。那么安全性就会存在以下几点问题。

1.A域跳转到B域的时候，认证的请求被劫持，劫持者拿着认证的请求是不是也能直接跳转到B域?

2.A域跳转到B域后，B域中的Cookie信息是不是与A域一样，最终实现，一个Cookie在两个域中都可使用？

3.B域再跳回A域，是不是又得重新认证？

以上只是AB域，实际中，存在的域名或许更多.

针对以上问题，相较于目前已经成熟的方案，JWT（Json web token）和Ticket一次性凭证。