CAS ,中央认真服务(Central Authentication Service) 是耶鲁(Yale)大学的 ITS 开发的一套 JAVA 实现的开源的单点登录(SSO,single sign-on) 的服务。
关键字?
AS——Authentication Service,即认证服务。
TGT——Ticket Granting Ticket,即票据授权票据。
ST——Service Ticket,即服务票据。
TGS——Ticket Granting Service,即票据授权服务。
TGC——Ticket-granting Cookie,即授权的票据证明。
KDC——Key Distribution Center,即密钥发放中心。
CAS包括两个组成部分?
CAS-Client,中央认真服务Client端。
CAS-Server,中央认证服务Server端。
Client端寄存于Web应用之中,以Java举例来讲,通过配置web.xml文件,实现对用户的登录拦截,并将用户的请求重定向到Server端,由Server去进行身份验证;而Server端独立存在于一个服务器中,负责接收Client端发送过来的请求,完成用户的身份认证,生成TGT,并重定向到Client端的Web服务上。
CAS认证过程?
CAS 单点服务器的认证过程,所有应用服务器收到应用请求后,检查 ST 和 TGT ,如果没有或不对,转到 CAS 认证服务器登陆页面,通过安全认证后得到 ST 和 TGT 再重定向到相关应用服务器,在会话生命周期之内如果再定向到别的应用,将出示 ST 和 TGT 进行认证 , 注意 , 取得 TGT 的过程是通过 SSL 安全协议的(换句话说就是如果不用 SSL 协议 , 每访问一个应用服务,就得重新到认证服务中心认证一次)。
CAS认证过程举例?
现在,你要去游乐场玩,首先你要在门口检查你的身份(即检查你的ID 和 PASS), 如果你通过验证 , 游乐场的门卫 (AS) 即提供给你一张门卡 (TGT)。这张卡片的用处就是告诉游乐场的各个场所,你是通过正门进来的。
现在你有张卡,但是这对你来不重要,因为你来游乐场不是为了拿这张卡的,我们向你的目的出发,恩,你来到一个摩天楼 , 你想进入玩玩。
这时摩天轮的服务员(client)拦下你 , 向你要求摩天轮的(ST)票据 , 你说你只有一个门卡(TGT),好的,那你只要把 TGT 放在一旁的票据授权机(TGS)上刷一下。
票据授权机(TGS)就根据你现在所在的摩天轮,给你一张摩天轮的票据(ST),哈,你有摩天轮的票据,现在你可以畅通无阻的进入摩天轮里游玩了。
当然如果你玩完摩天轮后,想去游乐园的咖啡厅休息下,那你一样只要带着那张门卡(TGT)。到相应的咖啡厅的票据授权机(TGS)刷一下,得到咖啡厅的票据(ST)就可以进入咖啡厅。
当你离开游乐场后,想用这张 TGT 去刷打的回家的费用,呵呵,对不起,你的 TGT 已经过期了,在你离开游乐场那刻开始,你的 TGT 就已经销毁了。
CAS工作原理机制图
6176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
