CAS笔记

已于 2023-10-26 17:16:46 修改
阅读量164 收藏
点赞数
分类专栏: CAS SSO 文章标签: sso
于 2022-02-11 17:49:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangChingyuk/article/details/122306290
版权
CAS 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
SSO
1 篇文章 0 订阅
订阅专栏

学习链接
https://www.cnblogs.com/xiatian0721/p/8136305.html

原理

主要原理:用户第一次访问一个CAS 服务的客户web 应用时(访问URL :http://ipA:8081/web1 ),部署在客户web 应用的cas AuthenticationFilter ,会截获此请求,生成service 参数,然后redirect 到CAS 服务的login 接口,url为https://cas:8443/cas/login?service=http%3A%2F%2FipA%3A8081%2Fweb1%2F ,认证成功后,CAS 服务器会生成认证cookie ,写入浏览器,同时将cookie 缓存到服务器本地,CAS 服务器还会根据service 参数生成ticket,ticket 会保存到服务器,也会加在url 后面,然后将请求redirect 回客户web 应用,url 为http://ipA:8081/web1/?ticket=ST-5-Sx6eyvj7cPPCfn0pMZuMwnbMvxpCBcNAIi6-20 。这时客户端的AuthenticationFilter 看到ticket 参数后,会跳过,由其后面的TicketValidationFilter 处理,TicketValidationFilter 会利用httpclient 工具访问cas 服务的/serviceValidate 接口, 将ticket 、service 都传到此接口,由此接口验证ticket 的有效性,TicketValidationFilter 如果得到验证成功的消息,就会把用户信息写入web 应用的session里。至此为止,SSO 会话就建立起来了,以后用户在同一浏览器里访问此web 应用时,AuthenticationFilter 会在session 里读取到用户信息,所以就不会去CAS 认证,如果在此浏览器里访问别的web 应用时,AuthenticationFilter 在session 里读取不到用户信息,会去CAS 的login 接口认证,但这时CAS 会读取到浏览器传来的cookie ,所以CAS 不会要求用户去登录页面登录,只是会根据service 参数生成一个ticket ,然后再和web 应用做一个验证ticket 的交互。

步骤

1 : InitialFlowSetupAction: 是流程的入口。用 request.getContextPath() 的值来设置 cookie 的 Path 值, Cookie 的 path 值是在配置文件里定义的,但这个 Action 负责将 request.getContextPath() 的值设置为 Cookie 的 path 值,这是在 cas 部署环境改变的情况下,灵活地设置 cookie path 的方式;把 cookie 的值以及 service 参数的值放入 requestContext 的 flowscope 里。

2 : GenerateServiceTicketAction 此 Action 负责根据 service 、 GTC cookie 值生成 ServiceTicket 对象, ServiceTicket 的 ID 就是返回给客户应用的 ticket 参数,如果成功创建 ServiceTicket ,则转发到 WarnAction ,如果创建失败,且 gateway 参数为 true ,则直接redirect 到客户应用, 否则则需要重新认证。

3 : viewLoginForm 这是登录页面, CAS 在此收集用户凭证。 CAS 提供的默认实现是 /WEB-INF/view/jsp/simple/ui/casLoginView.jsp 。

4 : bindAndValidate 对应 AuthenticationViaFormAction 的 doBind 方法,该方法负责搜集登录页面上用户录入的凭证信息(用户名、密码等),然后把这些信息封装到 CAS 内部的 Credentials 对象中。用户在 casLoginView.jsp 页面上点击提交后,会触发此方法。

5:submit 对应 AuthenticationViaFormAction 的 submit 方法 , 如果 doBind 方法成功执行完, 则触发 submit 方法,此方法负责调用centralAuthenticationService 的 grantServiceTicket 方法,完成认证工作,如果认证成功,则生成 TicketGrantingTicket 对象,放在缓存里, TicketGrantingTicket 的 ID 就是 TGC Cookie 的 value 值。

6 : warn CAS 提供了一个功能:用户在一个 web 应用中跳到另一个 web 应用时, CAS 可以跳转到一个提示页面,该页面提示用户要离开一个应用进入另一个应用,可以让用户自己选择。用户在登录页面 viewLoginForm 上选中了 id=”warn” 的复选框,才能开启这个功能。

WarnAction 就检查用户有没有开启这个功能,如果开启了,则转发到showWarnView, 如果没开启,则直接redirect 到客户应用。

7 :SendTicketGrantingTicketAction 此Action 负责为response 生成TGC Cookie ,cookie 的值就是 AuthenticationViaFormAction 的submit 方法生成的 TicketGrantingTicket 对象的 ID 。

8 : viewGenerateLoginSuccess 这是 CAS 的认证成功页面。

客户端

  1. 第一次访问http://localhost:8080,

CLIENT:没票据且SESSION中没有消息所以跳转至CAS

CAS:拿不到TGC故要求用户登录

  1. 认证成功后回跳

CAS:通过TGT生成ST发给客户端,客户端保存TGC,并重定向到http://localhost:8080

CLIENT:带有票据所以不跳转只是后台发给CAS验证票据

  1. 第一次访问http://localhost:8081

CLIENT:没票据且SESSION中没有消息所以跳转至CAS

CAS:从客户端取出TGC,如果TGC有效则给用户ST并后台验证ST,从而SSO。【如果失效重登录或注销时,怎么通知其它系统更新SESSION信息呢??TicketGrantingTicketImpl类grantServiceTicket方法里this.services.put(id,service);可见CAS端已经记录了当前登录的子系统】

  1. 再次访问http://localhost:8080

CLIENT:没票据但是SESSION中有消息故不跳转也不用发CAS验证票据,允许用户访问

一般接入流程示意图

在这里插入图片描述

iiYcyk
关注
专栏目录
单点登录CAS笔记
shuangmu9768的博客
09-05 1万+
【1】CAS服务端 【2】CAS客户端 【3】CAS5.2x搭建cas服务器 【4】CAS客户端配置 【5】cas接入REST登录认证 【6】通过Cas Proxy访问其它Cas应用 【7】CAS多属性返回 【1】CAS服务端 #配置hosts C:\Windows\System32\drivers\etc #下载地址 https://github.com/apereo/cas/releases #下载源码后,打成war包,并部署在tomcat8。 http://sso.itcast.cn:8088/
jasig cas笔记(一):基础(非代理)认证流程
hxm_Code的专栏
08-29 945
单点登录的概念不再赘述。而关于jasig cas 的认证流程,其实十分简单明了,直接上图: 上图中几个角色分别为:user(用户)、browser(浏览器)、cas server(jasig cas认证服务)、(app1)应用1、(app2)应用2。一、两个关键元素:ST、TGC ST:即service ticket;用于验证用户认证状态的一种凭证。当用户请求某个应用的资源时,若该用户尚未认证,
cas学习笔记
weixin_43769566的博客
06-12 324
cas是什么 比较并交换 实例 、、、 以下这个对象进行示例: AtomicInteger atomicInteger = new AtomicInteger(); //这是具有原子性的integer atomicInteger.copareAndSet() ; //比较并交换—这个api这就是cas的缩写,第一个参数是比较是否在自己操作时,主内存里的值发生了变化,第一个参数进行对比的,第二个参数...
CAS学习笔记(四)
笑笑不说话
07-19 1371
CAS源码还是比较复杂的,通过几天的学习,整理了CAS的工作流程。一、第一次访问1、浏览器访问:https://localhost:8443/App12、客户端:AuthenticationFilter filter 发现Session中无 Assertion,且URL中无 ticket 变量。生成 service url 变量, 并重定向 到:https://localhost:8443/ca
CAS部署使用以及登录成功跳转地址
菲律宾铁猴子的博客
07-26 6067
CAS的登录流程,以及如何部署使用,以及可能会遇到的问题,以及登录成功或者失败后的重定向地址
JAVA并发编程学习笔记CAS操作
01-21
CAS操作  CAS是单词compare and set的缩写,意思是指在set之前先比较该值有没有变化,只有在没变的情况下才对其赋值。  我们常常做这样的操作  if(a==b) {  a++;  }  试想一下如果在做a++之前a的值被...
cas单点登录服务端部署以及客户端配置详解
XZQ1969的博客
01-04 4356
本文内容目录 cas介绍 tomcat配置https支持(包括证书生成步骤) cas服务端搭建 cas客户端搭建 1. cas介绍 简介: CAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。 特点: 1、开
CAS单点登录(五)——Service配置及管理
热门推荐
Anumbrella
08-29 3万+
在上一节我们讲述了CAS中关于自定义认证登录策略,对CAS中关于自定义登录配置的方案,校验策略有了一定的了解,如果忘记了可以去复习一下——————CAS单点登录(四)——自定义认证登录策略。这节本来该介绍自定义表单信息的知识,但是考虑到使用自定义表单知识涉及到Service配置方面的知识,所以这一节介绍一下在CASService配置及管理。 首先我们要明白CAS中的Service的概念是什么,...
Cas认证原理
八神庵的博客~
09-20 3475
1.cas相当于一个web应用,应配置在一台电脑上,作为cas认证服务器。首先有三个URL: 登录URL:cas的登录认证url(假设为:https://cas/login) 验证URL:cas的验证ticket(票据)url 登出URL:cas的登出url(假设为:https://cas/logout)1、浏览器首先访问页面(假设为:https://myweb/weblogin),filet
CAS单点登录开源框架解读(九)--CAS单点登录客户端认证之服务端验证票据返回认证信息
joeljx的专栏
04-03 5887
服务端如何返回用户认证信息 上一章节中我们已经知道是通过http请求去到CAS服务端获取信息,根据CAS单点登录客户端的请求地址/serviceValidate,我们再CAS单点登录服务端上通过Springmvc根据url里的/serviceValidate,匹配到@RequestMapping(path="/serviceValidate") 1. ticket校验开始:serviceValid...
CAS Server搭建及客户端使用
windfbi
12-09 6949
CAS Server 安装方式:WAR Overlay Initializr 通过本地命令生成WAR Overlay Template 进行覆盖安装。 采用版本:6.4.3 步骤 生成模板项目 使用免费CAS初始化服务器Heroku。 在bash profile(.bash_profile 或 .profile)添加: function getcas(){ curl https://casinit.herokuapp.com/starter.tgz \ -d type=cas-ove
Cas登录流程
xiaoguangtouqiang的博客
08-24 2018
最近的项目中需要使用cas单点登录,做个简单的记录,梳理下整个cas的认证的流程;这里以自己的应用为例;我项目的地址是 http://172.26.4.13:9998/ 1>第一次访问http://172.26.4.13:9998/应用;访问任何一个需要权限的地址,后端的filter会拦截请求,并重定向到cas的地址 可以看到这里的状态码302,重定向的地址是 https://g...
CAS客户端认证流程
ki_boy的专栏
07-12 1284
 CAS登陆流程 Step 1:浏览器向CAS客户端发起登陆请求,CAS客户端生成“登陆URL”,并把浏览器重定向到该URL 登陆URL: https://${cas-server-host}:${cas-server-port}/cas-server/login?service=${client-service-url} 其中 cas-server-host: cas
CAS Server Restful接口实现后台认证
最新发布
qq_40874285的博客
06-10 993
接口参数说明接口说明使用PathVariable接收参数,参数为ST票据。用于校验ST票据状态使用PathVariable接收参数,参数为TGT;以及需要service作为表单参数使用application/x-www-form-urlencoded形式传递即可。用于生成ST票据与CAS Server的UsernamePasswordCredential参数有关,默认为username和password参数,使用application/x-www-form-urlencoded形式传参。
cas sso https ssl 协议客户端如何部署及访问cas 服务器地址
风丨恨的博客
05-11 3455
这篇文章是对上篇 记录一下cas sso的开发过程 内容的补充吧。当我发现把服务器和客户端分开的时候遇到了一些小问题,有些文件信息还是要在cas 服务器和客户端分开的时候要进行新的配置。说明一下:cas server 作为单独的服务器部署在C1上,客户端部署在C2上。客户端访问自己的服务时需要通过cas server验证登录信息。配置如下:cas 服务端:编辑文件:C:\Windows\Syste...
cas 登出URL的格式
金戈铁马
11-15 887
假如登陆的URL是 http://cas_server_ip/login?service=http://cas_client_ip 那么登出的URL是 http://cas_server_ip/logout?service=[ 登陆的URL ] 也就是: http://cas_server_ip/logout?service=http://cas_server_ip/login?serv...
JA-SIG CAS学习笔记:搭建Java Web服务器与HTTPS证书配置
"这篇文档是关于JA-SIG CAS(Central Authentication Service)的学习笔记,作者在2008年2月26日记录了搭建CAS服务器和客户端环境的过程。实验环境包括Windows XP、JDK 1.6.0_04、Tomcat 6.0.14以及CAS Server 3.1.1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值