解析代理模式
在接下来的文章中,我们将对CAS单点登录的代理模式进行解析。讲解如何对代理模式进行使用和测试
1. 代理模式时序图
下图为CAS单点登录代理模式下的序列图,网摘自https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol.html。
使用场景简单说明:当浏览器用户访问代理应用A,代理应用A中调用了被代理应用B的授权性资源,代理应用A想代表用户去访问被代理应用B,因此代理应用A需要告诉被代理应用B当前用户是谁,以便被代理应用B对当前的用户请求进行授权。
2. 代理模式原理
分两个阶段说明:
1、用户在代理服务器(CAS单点登录客户端1)上进行认证
2、用户访问CAS单点登录客户端1的某资源,客户端1代表用户从客户端2上获取授权性资源
2.1 用户在代理服务器上进行认证
代理的前提是需要 CAS Client 拥有用户的身份信息 ( 类似凭据 ) 。之前我们提到的 TGC 是用户持有对自己身份信息的一种凭据,这里的 PGT 就是 CAS Client 端持有的对用户身份信息的一种凭据。凭借TGC , User 可以免去输入密码以获取访问其它服务的 Service Ticket 。所以,这里凭借 PGT , Web应用可以代理用户去实现后端的认证,而 无需前端用户的参与 。
如上面的CAS代理模式图所示, CAS单点登录Client在基础协议之上,在验证ST时提供了一个额外的PGTURL(而且是SSL的入口 )给CAS单点登录Server端,使得CAS单点登录Server端可以通过PGTURL提供一个PGT给CAS单点登录Client端。
PGTURL:用于表示一个Proxy服务,是一个回调链接;
PGT:相当于代理证书;
PGTIOU:为取代理证书的钥匙,用来与PGT做关联关系。
2.2 CAS单点登录代理客户端1从被代理客户端2上获取受限资源
在完成代理服务器认证之后,就要去被代理客户端上去获取相关对应的应用资源。下面我们看一下具体的流程是怎么进行的。
如上图所示, Proxy 认证与普通的认证其实差别不大, Step1 , 2 与基础模式的 Step1,2 几乎一样,唯一不同的是, Proxy 模式用的是 PGT 而不是 TGC ,是 Proxy Ticket ( PT )而不是 Service Ticket 。
后续将通过例子进行具体的分析代理模式。
494
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
