SSO CAS 单点登录 教程整理

转自 微信公众号"Java架构师"

1. 10分钟让你了解SSO技术到底讲个啥？

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=214527346&idx=1&sn=3dfebd284acd1471c251bf8067b9bda7&scene=4#wechat_redirect

2. 干货！原来实现一个SSO认证服务器是这样的

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=214675514&idx=1&sn=881437384a94f08f1b5df77d19c2719d&scene=4#wechat_redirect

3. 干货 ! 不求人, 自己动手实现一个SSO认证服务器

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=214805051&idx=1&sn=5a27369288d5805f126e207a89a44ad8&scene=4#wechat_redirect

4. 实操！轻松玩转SSO CAS就这么简单(相遇篇)

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=214852448&idx=1&sn=fc3777a3dd128835bb7b2d7339cab4bd&scene=4#wechat_redirect

5. 实操！轻松玩转SSO CAS就这么简单(相识篇)

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=214918821&idx=1&sn=84fa72cb6a348ff2e4feba4d6e2f18ba&scene=4#wechat_redirect

6. 实操！轻松玩转SSO CAS就这么简单(相知篇)

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=214996877&idx=1&sn=1cf07c4d51e17975c622329dd2be0bd7&scene=4#wechat_redirect

7. 加精！大型互联网应用基于CAS的SSO架构

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=400009125&idx=1&sn=fc2db577944a16fba44b6bcfb1018c37&scene=4#wechat_redirect

8. 重磅！支持Web应用跨域登录CAS

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=400451237&idx=1&sn=35e20fd1337a5e03e2a1488c5d8113c5&scene=4#wechat_redirect

9. 分析！OpenID能成功逆袭吗？

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=401075189&idx=1&sn=d167ae4fa8d6d508efa3511febac4bf2&scene=4#wechat_redirect

10. APP原生应用如何访问CAS认证中心？

http://mp.weixin.qq.com/s?__biz=MzAxNzcwNzY1Nw==&mid=401454651&idx=1&sn=af9d281331cb822742902ef492cbd22a&scene=4#wechat_redirect

=============================

目录

http://zhenkm0507.iteye.com/category/89096

【原创】CAS调研总结

http://zhenkm0507.iteye.com/blog/544899

=============================

==============================

【原创】CAS总结之Ticket篇

http://zhenkm0507.iteye.com/blog/546805

CAS的核心就是其Ticket，及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT，其中TGT、ST是CAS1.0协议中就有的票据，PGT、PGTIOU、PT是CAS2.0协议中有的票据。

 

一 名词解释

• TGT（Ticket Grangting Ticket）

TGT是CAS为用户签发的登录票据，拥有了TGT，用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后，CAS生成cookie，写入浏览器，同时生成一个TGT对象，放入自己的缓存，TGT对象的ID就是cookie的值。当HTTP再次请求到来时，如果传过来的有CAS生成的cookie，则CAS以此cookie值为key查询缓存中有无TGT ，如果有的话，则说明用户之前登录过，如果没有，则用户需要重新登录。

 

• ST（Service Ticket）

ST是CAS为用户签发的访问某一service的票据。用户访问service时，service发现用户没有ST，则要求用户去CAS获取ST。用户向CAS发出获取ST的请求，如果用户的请求中包含cookie，则CAS会以此cookie值为key查询缓存中有无TGT，如果存在TGT，则用此TGT签发一个ST，返回给用户。用户凭借ST去访问service，service拿ST去CAS验证，验证通过后，允许用户访问资源。

 

• PGT（Proxy Granting Ticket）

Proxy Service的代理凭据。用户通过CAS成功登录某一Proxy Service后，CAS生成一个PGT对象，缓存在CAS本地，同时将PGT的值（一个UUID字符串）回传给Proxy Service，并保存在Proxy Service里。Proxy Service拿到PGT后，就可以为Target Service（back-end service）做代理，为其申请PT。

 

• PGTIOU（Proxy Granting Ticket IOU）

PGTIOU是CAS协议中定义的一种附加票据，它增强了传输、获取PGT的安全性。
PGT的传输与获取的过程：Proxy Service调用CAS的serviceValidate接口验证ST成功后，CAS首先会访问pgtUrl指向的https url，将生成的 PGT及PGTIOU传输给proxy service，proxy service会以PGTIOU为key，PGT为value，将其存储在Map中；然后CAS会生成验证ST成功的xml消息，返回给Proxy Service，xml消息中含有PGTIOU，proxy service收到Xml消息后，会从中解析出PGTIOU的值，然后以其为key，在map中找出PGT的值，赋值给代表用户信息的Assertion对象的pgtId，同时在map中将其删除。

 

• PT（Proxy Ticket）

PT是用户访问Target Service（back-end service）的票据。如果用户访问的是一个Web应用，则Web应用会要求浏览器提供ST，浏览器就会用cookie去CAS获取一个ST，然后就可以访问这个Web应用了。如果用户访问的不是一个Web应用，而是一个C/S结构的应用，因为C/S结构的应用得不到cookie，所以用户不能自己去CAS获取ST，而是通过访问proxy service的接口，凭借proxy service的PGT去获取一个PT，然后才能访问到此应用。

 

二 代码解析

                                                    CAS Ticket类图

• TicketGrantingTicket 的 grantServiceTicket方法

方法声明：public synchronized ServiceTicket grantServiceTicket(final String id,final Service service, final ExpirationPolicy expirationPolicy, final boolean credentialsProvided)
方法描述:
 1：生成SerivceTicketImpl
 2：更新属性：
this.previousLastTimeUsed = this.lastTimeUsed;
   this.lastTimeUsed = System.currentTimeMillis();
   this.countOfUses++;
 3：给service对象的principal属性赋值
 4：将service对象放入map services

 

• ServiceTicket 的 grantTicketGrantingTicket方法

方法声明：
public TicketGrantingTicket grantTicketGrantingTicket(final String id, final Authentication authentication,final ExpirationPolicy expirationPolicy)
方法描述：在CAS3.3对CAS2.0协议的实现中，PGT是由ST签发的，调用的就是ServiceTicket的grantTicketGrantingTicket方法。方法返回的TicketGrantingTicket对象，表征的是一个PGT对象，其中的ticketGrantingTicket属性的值是签发ST的TGT对象。

 

• TicketGrantingTicket 的 expire方法

方法声明：void expire()
方法描述：
在CAS的logout接口实现中，要调用TGT对象的expire方法，然后会在缓存中清除此TGT对象。
expire方法的内容：循环遍历 services 中的Service对象，调用其logoutOfService方法。具体Service实现类中的logoutOfService方法的实现，要通知具体的应用，客户要退出。

TGT、ST、PGT、PT之间关系的总结

 

1：ST是TGT签发的。用户在CAS上认证成功后，CAS生成TGT，用TGT签发一个ST，ST的ticketGrantingTicket属性值是TGT对象，然后把ST的值redirect到客户应用。

 

2：PGT是ST签发的。用户凭借ST去访问Proxy service，Proxy service去CAS验证ST（同时传递PgtUrl参数给CAS），如果ST验证成功，则CAS用ST签发一个PGT，PGT对象里的ticketGrantingTicket是签发ST的TGT对象。

 

3：PT是PGT签发的。Proxy service代理back-end service去CAS获取PT的时候，CAS根据传来的pgt参数，获取到PGT对象，然后调用其grantServiceTicket方法，生成一个PT对象。

                                        TGT、ST、PGT、PT之间的关联关系

 

注：如果本文中介绍的 Ticket 概念不详细，请参考本人的另一篇文章 CAS 总结之协议分析篇，里面的动画演示比较清楚地表达了 Client 、 Service 、 CAS 三者之间的交互。