CAS

最新推荐文章于 2024-07-23 15:39:44 发布
最新推荐文章于 2024-07-23 15:39:44 发布
阅读量338 收藏 1
点赞数
文章标签: ssl authentication servlet 浏览器 url sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alex_yyf/article/details/6540511
版权

CAS(Central Authentication Server)耶鲁大学开发的SSO产品。

服务器端使用 Servlet,通过SSL和客户端传递信息。

CAS java客户端使用Filter技术,拦截需要保护的资源URL。

CAS两种模式:Agent和Proxy

1. Agent模式原理:

   (1)用户访问APP,APP未得到ST,重定向到IDP;

   (2)用户在IDP登录成功之后,IDP生成TGT并放在Agent(浏览器),作为会话标识;

               IDP为RP(APP)生成ST并缓存,ST返回到Agent;

    (3)Agent重定向到APP并出示ST;

     (4)APP得到ST,建立SSL通道将ST发送到IDP进行验证;

    (5)IDP验证ST,清除ST,并返回验证结果;

    (6)APP得到Agent的用户登录状态。

Proxy模式原理:

(1)同Agent模式

(2)同Agent模式

(3)同Agent模式

(4)App得到ST,建立SSL通道,发送ST的同时发送一个PGT URL到IDP

(5)IDP验证ST,清除ST,生成PGT和PGTIOU,并一起发送到APP

(6)APP得到Agent的用户登录状态;并且拿到一个PGT和PGTIOU, PGT被APP保存。

到这里,Proxy验证用户身份完成,同时也拿到了PGT以便作为用户代理去访问其他应用。

下面是App代理用户访问APP2的流程:

(7)APP向IDP发送PGT和APP2标识

(8)IDP验证PGT,生成一个PT(上面写着:APP希望通过代理方式访问APP2),缓存PT

(9)APP接收到PT,向APP2发送请求,带着PT

(10)APP2收到PT,向IDP发送验证请求,参数是APP2标识和PT

(11)IDP验证PT,销毁PT,返回APP代理的用户名称和APP的PGT URL

(12)APP2决定是否愿意让APP代理该用户,如果愿意,则返回数据

(13)APP得到APP2的服务,这样代理过程结束

如果APP又要访问APP3,则重复(7)到(13)的过程

 

几个关键点

1. 安全性依赖:CAS依靠SSL来传递TGT、PGT保证机密性;ST、PT验证一次之后失效,防止重放攻击

2. ST依靠TGT获得,PT依靠PGT获得;

    ST、PT是一次性的,TGT、PGT的生命期是整个会话;

    TGT存放在Agent(浏览器),PGT存放在Proxy(APP)

 

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/roamoner/archive/2008/07/30/2740770.aspx

alex_yyf
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录(二)----实战------简单搭建CAS---测试认证方式搭建CAS
直到世界的尽头
01-26 2万+
我们在上一篇文章中已经介绍了cas以及它的工作流程。 单点登录(一)-----理论-----单点登录SSO的介绍和CAS+选型本章我们开始动手搭建一个完整的cas服务实现2个web之间的单点登录。简化声明我们这里为了感受完整的简单的CAS搭建流程,这里有两个地方做了简化:认证方式使用的测试类型的认证方式我们在上一篇已经学习了CAS的认证方式支持很多种,可以是xml,可以是LADP服务,可以是数据库
CAS简述
weixin_50352768的博客
05-28 275
cas
sso之:CAS
07-30 722
 CAS(Central Authentication Server)耶鲁大学开发的SSO产品。服务器端使用 Servlet,通过SSL和客户端传递信息。CAS java客户端使用Filter技术,拦截需要保护的资源URLCAS两种模式:Agent和Proxy1. Agent模式原理:   (1)用户访问APP,APP未得到ST,重定向到IDP;   (2)用户在ID
CAS5 动态配置服务端
GuanHao的博客
07-31 1334
Application.properties 该文件外部配置路径是:/etc/cas/config目录下;该路径由bootstrap.properties文件中的 cas.standalone.config=/etc/cas/config指定 其次是项目内部与bootstrap文件同一目录下的位置 Services 接入CAS的客户端对应的配置文件路径默认在/resources/ser...
CAS学习
weixin_40161962的博客
10-19 132
CAS是什么? CAS是compare and swap。其代码主要位于juc的atomic包下,是用于实现是用于实现多线程同步的原子指令。 synchronized是悲观锁,这种线程一旦得到锁,其他需要锁的线程就挂起的情况就是悲观锁。 CAS是c语言实现的cpu锁,机制相当于一个乐观锁,每次不加锁而是假设没有冲突而去完成某项操作,如果因为冲突失败就重试,直到成功为止。 原理 juc的atomic...
cas
08-07
标题中的“cas”通常指的是中央认证服务(Central Authentication Service),这是一个开源的身份验证和授权框架,主要用在Web应用中,由耶鲁大学开发并维护。CAS遵循单点登录(Single Sign-On, SSO)协议,允许用户...
cas-overlay-template-6.4 服务端代码
01-28
1.CAS-集成mysql 2.CAS-日志审计 3.CAS-连接池配置 4.CAS-自定义错误信息 5.CAS-识别json文件 6.CAS-页面缓存记住我 7.CAS-cookie设置 8.CAS-tgc设置 9.CAS-登出 10.CAS-redisCluster集群存储ticket(相应redis必须...
CAS Protocol 3.0 Specification.docx 官方中文版教程详解
04-29
**CAS协议3.0详解** CAS(Central Authentication Service)是一种网络单点登录(SSO)/单点登出(SLO)协议。它的主要目的是在用户访问多个应用程序时,只需向中央CAS服务器提供一次凭证,如用户名和密码,从而...
Cas
03-15
Cas,全称是Central Authentication Service(中央认证服务),是一个基于Web的开源认证协议,由耶鲁大学开发并维护。在IT行业中,Cas被广泛应用于构建单点登录(Single Sign-On, SSO)系统,允许用户通过一次登录...
重放攻击(Replay Attacks)
weixin_33907511的博客
12-01 1187
重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式防止信息泄露,会话被劫持修改。但这种方式防止不了重放攻击。3.重放攻击的防御1)时间戳验证请求时加上客户端当前时间...
java添加时间戳防止重放攻击
qq_40543150的博客
01-25 7141
每次HTTP请求,都需要加上timestamp参数。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。 直接上代码: js 在页面引入aes.js,在请求头部中传入加密的时间戳 $.ajax({ cache : true, type : "pos...
cas单点登录 - cas-server运行
u014540082的博客
05-07 753
>>项目托管地址 前提 1.cas-server正常构建 2.ide中运行cas-server工程 3.读取application配置 4.读取service配置 5.注册过滤器 6.绑定spring-webflow 读取service配置 services是在cas-server启动的时候进行注册的,service中用于配置cas-server的拦截规则,包含了拦截...
openssl 加密
最新发布
jnrjian的博客
07-23 310
使用tar命令在Linux中加密文件可以通过两种方式实现:使用gzip压缩的同时加密,或者使用加密选项。– openssl enc -e -aes256:使用AES 256位加密算法对输入的数据进行加密。– archive.tar.gz.enc:加密后的输出文件名。– archive.tar.gz.enc:要解密的文件名。– -f archive.tar.gz:指定输出文件名。– -f archive.tar.gz:要解密的文件名。– xz:解压缩tar文件,同时解密加密的文件。
[每周一更]-(第106期):DNS和SSL协作模式
hmx224_2014的专栏
07-21 744
DNS(Domain Name System,域名系统)是互联网的重要组成部分,其主要作用是将人类可读的域名(如 www.example.com)转换为机器可读的IP地址(如 192.0.2.1)。这一过程称为DNS解析。DNS类似于互联网的电话簿,通过查询DNS服务器获取相应的IP地址,从而实现网络通信。DNS叫做域名系统:由解析器和域名服务器组成,域名服务器保存着该网络中所有主机的域名和对应的IP地址,域名有唯一对应的IP地址,但是IP地址不一定对应一个域名,我们就是根据DNS来上网的。
git遇到OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 0
weixin_61570458的博客
07-22 418
一般是代理http/https或者其他问题导致的。最简单的方法,直接忽略SSL证书错误就好。
GMSSL2.x编译鸿蒙静态库和动态库及使用
smile_po的博客
07-22 401
一、编译环境准备 1.1 开发工具
CAS 实现SSO详细指南
"这篇文档详细介绍了如何使用CAS(Central Authentication Service)进行服务器和客户端的部署设计,以实现单点登录(SSO)功能。文档旨在记录利用CAS实施SSO的全过程,适合对SSO感兴趣的读者。文档内容涵盖了CAS的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值