CAS SSO用户认证原理分析

已于 2022-04-17 00:09:54 修改
阅读量2.9k 收藏 7
点赞数 2
分类专栏: java 文章标签: cas sso
于 2022-04-15 19:30:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beiduofen2011/article/details/124201333
版权

cas中重要的三个关键词:

  1. TGT: 缓存在cas server用户登录标识的票据(可以存放在mongodb,mysql等数据存储介质中,默认是放在本地内存中)
  2. TGC:缓存在浏览器cookie中用户登录标识票据,在同一个用户下,可以用TGC去cas server中查找对应的TGT,获取ST
  3. ST:就是ticket,访问资源服务器的票据,即一张通行证

现在有两台资源服务器,一台资源服务器9003,一台资源服务器9004,现在想要实现资源服务9003和资源服务器9004实现单点登录

第一次登录资源服务器9003流程:

 由资源服务器9003跳转至资源服务器9004流程:

 看其中能不能实现SSO,最重要的就是浏览器缓存的TGC

 这个cookie是在 cas server(192.168.2.6)IP下,第一次用户登录成功就会setCookie到浏览器中,第一次单点登录到其他资源服务器会拿他去获取ticket,而且用TGC去拿ST这个请求一定要是https请求,否则会报SSL相关错误,这也是为了数据传输安全考虑,如果别人窃取到了你的TGC,就可以获取到ST,从而创建会话

ST(ticket)刚获取的时候也是缓存在客户端的cookie中,默认失效时间为10s,只能使用一次,使用的时候就会把cookie中的ST给删除了,这个跟oauth2的授权码code一样,只能使用一次,而且都是作为用户身份认证成功的标志

cas用户身份认证就是经典的cookie-session模式,有状态的安全认证,如果把浏览器cookie清除,就需要重新进行登录,这块跟ouath2 token,JWT无状态认证的有明显的区别

 安全性

1、sessionId

    public void test8(HttpServletRequest request, HttpServletResponse response) throws IOException {
        System.out.println(request.getSession().getMaxInactiveInterval());//1800
    }

服务器默认的是: 1800s,30分钟

如果我知道了cookie中保存的sessionId,我可以访问资源,因为资源服务器端已经缓存了当前会话的用户信息

    @ResponseBody
    @RequestMapping("/getUserInfo")
    public String test(Principal principal) {
        return "当前登录用户名是:" + principal.getName();
    }

所以后端服务器的session过期时间应合理的设置

还有就是浏览器对cookie的清除策略要设置好,如下expires为session的时候,当空闲时间还没到30分钟,谷歌浏览器默认情况下就算关掉窗口,都清除不了cookie

2、TGC

后端服务器session失效了,用户信息同时也被清除了,可以通过浏览器中的TGC,去获取ticket,会再次创建session,保存用户信息,则TGC被窃取存在很大的风险

 这个也取决于浏览器的cookie的过期策略

cas-server端的TGT,过期时间为2个小时,只要两个小时内,获取到cookie中的TGC,就可以获取ticket,从而创建会话

https主要是对数据传输过程中数据的加密和防篡改,实现安全的传输,并不能防止别人在浏览器上获取cookie信息,所以应该使用完,最好退出登录,退出登录能让cas-server TGT和资源服务器的session失效

shiro+cas

cas由于只能做身份认证,不能做授权,一般项目中都会根据用户的角色,匹配相应的权限,如果有权限,则访问资源,如果没有资源的权限,则拒绝访问,这块跟oauth2有明显的区别,oauth2授权码模式集身份认证,客户端认证,授权于一身,称为最安全的模式

shiro是现在项目中使用较多的用于身份认证和授权的安全框架,也是基于cookie-session模式,但是本身不能实现SSO(当然自己可以自定义实现,如:借助JWT可以实现无状态的SSO,需要实现统一的登录登出,JWT的登出实现比较麻烦,还要考虑用户会话集中式管理等等),cas本质就是SSO框架,所以集两者的优点,shiro+cas就是一个集身份认证SSO+授权于一体了

微服务中大致请求流程:

gateway:统一身份认证和授权,缓存缓存着用户的信息,如果有多台gateway,需要使用spring-session保证两个gateway的sessionid是一致的

mysql:存储着用户权限信息 

redis:主要是作为共享TGT的作用,cas支持很多种存储方式,如:

 如果不使用redis缓存做共享TGT,则可以使用nginx的ip hash转发方式

为爱停留
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
casssocas概述
遇见未知的自己
08-19 1704
初步了解一些单点登录的知识内容
单点登录 CAS SSO
10-24
7. **审计日志**:增强了审计功能,便于跟踪和分析用户行为和系统事件。 8. **可扩展性**:提供了插件机制,允许开发者自定义认证策略和扩展功能。 9. **兼容性**:保持与旧版本的兼容性,方便升级。 理解CAS SSO的...
深入理解CAS-认证原理
向着高亮的地方
06-12 4405
CAS,Central Authentication Service—中央认证服务,旨在为Web应用系统提供一种可靠的SSO解决方案。下面简单介绍SSO,重点介绍CAS认证过程。 一、SSO简介   1.1 概念   SSO英文全称Single Sign On,是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。   1.2 角色   一般 SSO 体系主要角色有三种:   * User (多个)   ...
SSO - CAS:基本原理解析
探索丶挑战丶突破
07-11 320
1、背景介绍单点登录:Single Sign On,简称SSOSSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS框架:CAS(Central Authentication Service)是实现SSO单点登录的框架。2、盗一张学习CAS绝大多都看过的图以及执行部分分析注:已分不清原创,此处就不给出地址了。从结构上看,CAS包含两个部分:CAS Server 和...
cas单点登录认证原理
最新发布
Lordinloft的专栏
03-03 886
讲述CAS认证原理
CAS-认证原理及实践
qq_52785898的博客
11-09 1005
CAS-认证原理及实践
CAS+SSO原理浅谈 - 很详细
燃烧JAVA
08-06 4476
SSO 是一个非常大的主题,我对这个主题有着深深的感受,自从广州 UserGroup 的论坛成立以来,无数网友都在尝试使用开源的 CAS , Kerberos 也提供另外一种方式的 SSO ,即基于 Windows 域的 SSO ,还有就是从 2005 年开始一直兴旺不衰的 SAML 。        如果将这些免费的 SSO 解决方案与商业的 Tivoli 或 Sitemi
CAS SSO 原理分析
yaooch的专栏
10-08 419
1. SSO 原理浅谈        SSO 是一个非常大的主题,我对这个主题有着深深的感受,自从广州 UserGroup 的论坛成立以来,无数网友都在尝试使用开源的 CAS ,Kerberos 也提供另外一种方式的 SSO ,即基于 Windows 域的 SSO ,还有就是从 2005 年开始一直兴旺不衰的 SAML 。        如果将这些免费的 SSO 解决方案与商业的 Ti
CAS实现SSO单点登录原理
草样涂荼
02-25 637
1. CAS 简介1.1. What is CASCAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。 CAS 开始于 2001 年, 并在 2004 年 12 月正式成为 JA-SIG 的一个项目。 1.2. 主要特性
CAS+SSO原理浅谈
miaoy220的博客
10-31 436
SSO 是一个非常大的主题,我对这个主题有着深深的感受,自从广州 UserGroup 的论坛成立以来,无数网友都在尝试使用开源的 CAS , Kerberos 也提供另外一种方式的 SSO ,即基于 Windows 域的 SSO ,还有就是从 2005 年开始一直兴旺不衰的 SAML 。        如果将这些免费的 SSO 解决方案与商业的 Tivoli 或 Siteminder 或 R
CAS-SSO-TRIAL.zip_CAS_CAS SSO_java sso_sso
09-21
1. **CAS简介**:解释CAS的基本原理,它的架构,以及为什么它是实现SSO的理想选择。 2. **SSO概念**:阐述SSO的工作机制,如何通过共享身份验证状态在多个应用间提供无缝登录体验。 3. **CAS服务器安装与配置**:...
CAS SSO
08-03
CAS SSO】是单点登录(Single Sign-On)...总之,CAS SSO是一种高效的身份验证解决方案,通过源码分析和实际工具应用,我们可以深入理解SSO的工作原理,并将其成功应用于各类应用场景,提升系统的安全性与用户体验。
sso-casDemo
08-09
SSO(Single Sign-On)是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次认证即可访问其他关联的应用系统。CAS(Central Authentication Service)是SSO的一种实现,它是一个开源的身份验证框架,广泛...
落雨博客基于CAS框架的单点登录技术讲解(ppt+code实例+doc)配套资料
04-26
[置顶] SSO单点登录系列2:cas客户端和cas服务端交互原理动画图解,cas协议终极分析 http://blog.csdn.net/ae6623/article/details/8848107 目 录 1 引言 4 1.1 摘要 4 1.2 范围 4 1.3 读者对象 4 1.4 关键词 4 2 ...
java反射获取一个对象中属性(field)的值
热门推荐
beiduofen2011的专栏
08-25 1万+
其中主要分成两步: 1、根据属性名去类里面查找是否存在这个属性,并获取 2、如果存在属性,再从这个对象数据里面获取对应的值 在Class中里面有以下公共方法可以获取到类的属性: public Field[] getDeclaredFields() throws SecurityException {...} public Field getDeclaredField(String name){...} public Field[] getFields() throws SecurityExcept
mybatis 拦截器
beiduofen2011的专栏
04-05 1万+
在mybatis中可被拦截的类型有四种(按照拦截顺序): Executor:拦截执行器的方法。 ParameterHandler:拦截参数的处理。 ResultHandler:拦截结果集的处理。 StatementHandler:拦截Sql语法构建的处理。 其实Executor都可以实现ParameterHandler,ResultHandler,StatementHandler拦截器的功能 拦截器一般在业务处理中用于: 1、分页查询 2、多租户添加条件过滤 3、对返回结果,过滤掉审计字段,
freemarker+poi实现动态生成excel文件及解析excel文件
beiduofen2011的专栏
07-01 9864
pom文件配置: 配置文件: 生成模板ftl文件步骤:1、新建excel文件:test.xlsx 2、把文件另存为xml文件,即test.xml 3、把test.xml修改文件后缀名,改为test.ftl 4、ftl文件格式化在线 XML 格式化 | 菜鸟工具 5、test.ftl文件中添加动态数据参数 最终把test.ftl文件放到resources/templates下,freemarker默认读取模板文件的位置下面使用springboot+freemarker动态生成并在线下载excel文
sql语法检测
beiduofen2011的专栏
05-28 5348
maven配置: <dependency> <groupId>com.github.jsqlparser</groupId> <artifactId>jsqlparser</artifactId> <version>4.2</version> </dependency> 用 jsqlparser可以限定输
CAS_SSO框架官方PPT解析:单点登录与用户认证流程
在官方PPT中,我们可以看到SSO用户的角度出发,展示了在没有SSO、使用SSO以及使用CAS服务的情况下的不同流程。 首先,没有SSO的情况下,用户需要为每一个应用(如app.#1, app.#2, app.#3)分别输入用户名和密码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值