will的成长之路

ST和TGT的过期策略可以参看配置文件：ticketExpirationPolicies.xml1、先说ST：ST的过期包括使用次数和时间，默认使用一次就过期，或者即使没有使用，一段时间后也要过期当cas配置为OAuth服务器时，oauth中的授权码code也是用一次就过期，它和单点登录中的ST实际上是一个东西；st默认过期时间是10秒，这个st在oauth中作为授权码code使用，过

1、TGC：Ticket-granting cookie，存放用户身份认证凭证的cookie，在浏览器和CAS Server间通讯时使用，是CAS Server用来明确用户身份的凭证。TGT封装了TGC值以及此Cookie值对应的用户信息。2、TGT：ticket granting ticket，TGT对象的ID就是TGC的值，在服务器端，通过TGC查询TGT。3、ST：service

Principal.getId()拿到的用户id，默认是从Credential.getId()拷贝过来的，Principal实例主要是来自DefaultPrincipalFactoryDefaultPrincipalFactory.createPrincipal(final String id)我们看一下QueryDatabaseAuthenticationHandler 是怎么调

1、cas项目导入cas-server-support-oauth子项目如果pom.xml中注释掉了这个模块，放开注释：cas-server-support-oauth2、cas-server-webapp项目的pom.xml中添加          org.jasig.cas      cas-server-support-oauth      ${proje

认证方式：默认的用户名密码写死在配置文件中          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">                                                            修改为JDBC

单点登录cas常见问题(一) - 子系统是否还要做session处理？单点登录cas常见问题(二) - 子系统是否会频繁访问cas中心？单点登录cas常见问题(三) - 单点登出时，子系统是否同步登出？单点登录cas常见问题(四) - ticket有哪些存储方式？单点登录cas常见问题(五) - service有哪些存储方式？单点登录cas常见问题(六) -

cas-server-support-rest子项目有什么用：如果一个android app要接入cas中心系统，就需要用到这个子项目。引入的前提条件是，cas项目已经启用了，通常不会启用一部分项目，如cas-server-webapp。引入步骤：1、将cas-server-support-rest模块导入到自己的cas项目中2、修改cas目录下的pom.xml，解开注释cas-s

举一个例子：有两个应用App1和App2，它们都是受Cas服务器保护的，即请求它们时都需要通过Cas 服务器的认证。现在需要在App1中通过Http请求访问App2，显然该请求将会被App2配置的Cas的AuthenticationFilter拦截并转向Cas 服务器，Cas 服务器将引导用户进行登录认证，这样我们也就访问不到App2的资源了。针对这种应用场景，Cas也提供了Cas Proxy

cas-management-webapp                       这是一个管理service的web项目，没有管理用户的功能cas-server-core                                            cas核心/基础子项目cas-server-core-api

先说一下，为什么cas系统中，接入的各个子系统叫服务呢？因为对普通用户来说，每一个接入到cas认证中心的子系统都提供特定的服务，大家都听过软件即服务，平台即服务，这样理解service就通顺了SaaS：Software-as-a-Service，软件即服务PaaS：Platform as a Service，平台即服务那么，如果cas中心配置的service的信

service的存储方式有以下几种：1、InMemoryServiceRegistryDaoImpl2、JsonServiceRegistryDao3、JpaServiceRegistryDaoImpl：如果启用了oauth，因为每一个第三方都被认为是一个service，最好存储在数据库中，管理方便4、MongoServiceRegistryDaocas默认配置是使用InM

配置文件ticketRegistry.xml负责配置ticket的存储方式，registry是注册表，登记薄的意思常用的存储方式包括1、DefaultTicketRegistry：默认的，存储在内存里2、JpaTicketRegistry：存储在数据库中，服务器重启时，已有的ticket不会丢失，用于高可用HA架构中3、EhCacheTicketRegistry：存储在ehca

答案是：子系统会同步登出。可以跟踪源码（这里cas版本是4.x）调用流程如下：terminateSessionAction.terminate(flowRequestContext)    centralAuthenticationService.destroyTicketGrantingTicket(tgtId)    实现类CentralAuthentication

这个问题的完整描述是：用户成功登陆后，在访问子系统的受限资源时，还需要访问cas中心么，即子系统是否还会频繁访问cas中心，cas中心会不会压力太大？答案是：不会。如果用户通过子系统A登录了cas中心，因为子系统A已经为每个登录用户创建了session（参考 单点登录cas常见问题(一) - 子系统是否还要做session处理？ ），浏览器也有子系统的cookie，这时候用户的访问就和

如果使用phpcase等cas系统提供的客户端sdk，他帮我们自动做好了session的处理：cas中心验证用户凭证后，会把用户信息传递给子系统，子系统的客户端sdk会把cas中心传回来的用户信息保存到session中（默认是保存user），并且在返回浏览器时将sessionid写到cookie中可以在子系统登录后，打印出sessionid和内容                var_du

http://jasig.github.io/cas/4.0.x/index.html           主页https://jasigcas.herokuapp.com                            demohttps://wiki.jasig.org/display/CASUM/Home                                 

1、OpenSSO曾经Sun的一款开源产品，从很少的那一点点中文资料上来看，这个能实现我需要的那种SSO模式。从SUN被Oracle收购之后，Oracle便关闭了OpenSSO这个项目，现在在网上下不到OpenSSO的安装文件。而且以前的那些在SUN发布的很多相关的帮助文档，大多数链接都失效了，全都指向了Oracle的同一个页面，找不到文档中对应的安装文件。2、OpenAMOpenAM