单点登录技术是一项非常重要的网络安全技术。由于万维网服务技术的广泛使用，如何实现适用万维网服务特点的单点登录成为一个热点问题。 Kerberos协议为分布式网络环境中传统的基于客户机/服务器的网络应用提供了一个较好的统一身份验证和单点登录方案，具有“高度安全性、可靠性、透明性和可伸缩性”，得到了广泛的应用。但是Kerberos协议的客户端实现复杂、存在时间依赖性和重放攻击等问题，此外，Kerberos协议主要关注验证功能，没有完整提供授权等访问控制功能。 安全断言标记语言(SAML)是当前另一个单点登录实现的方案，它是一个基于XML的框架，用于交换有关主体的验证和授权断言信息，SAML模型简单、通用，但SAML本身并没有规定实体间交换信息的安全协议，因此，SAML需要和其它的安全协议或者技术结合使用提供安全的单点登录。 本文通过研究和分析这两种单点登录方案，提出了新的万维网服务环境下单点登录模型。该模型对Kerberos协议进行改进和简化，使其适用于浏览器/服务器结构。同时，为了将授权工作移交给服务提供方，将SAML断言引入到该模型中，使服务提供方可以根据断言中携带的信息进行分布式授权。 万维网服务环境下单点登录模型将Kerberos和SAML进行融合，吸取双方的优势，将身份验证功能和授权功能进行分离，同时提供了单点登录功能和灵活的可定制的访问控制模型，也可以防止重放攻击。最后通过一个应用实例对该模型进行测试，证明了此模型的可行性。