Cas单点登录原理分析

最新推荐文章于 2021-12-24 13:34:10 发布
最新推荐文章于 2021-12-24 13:34:10 发布
阅读量864 收藏 4
点赞数 2
分类专栏: 单点登录 文章标签: cas 单点登录 原理 jwt 免登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/numbbe/article/details/112150306
版权

目录

同花顺

一个企业,有很多个软件。

有一天,领导心血来潮,闲的发慌,想要检查一下公司内部的各个系统的操作记录,看看有没有人吃回扣。

他首先打开管钱的系统,输入账号密码。

然后又打开管人系统,输入账号密码。

然后又打开通讯系统,输入账号密码。

终于受不了了,我屮艸芔茻。

大喊一声:小美,把信息部的老王给我喊过来。

单点登录举例

百度:百度贴吧,百度网盘。

淘宝:订单系统,支付系统。

京东:用户系统,购物车系统。

以上统一,都没有让你重复登录,但它们每一个都可以作为一个独立的系统来运行。

Cas家庭组

一个Cas-Server多个Cas-Client共同组成了一个大家庭。

只要在Cas-Server登录后,大家庭里所有的客户端都可以免登录。

在这里插入图片描述

画了一个草图:

想宠幸哪个就宠幸哪个。

在这里插入图片描述

单点登录哪家强

市场上有两种技术用于单点登录,分别是CAS与JWT,两个互有优缺点,我更倾向于JWT,但是用什么技术,我说了不算,boss说了算。

对不起周深(JWT),我喜欢李维(CAS)。

CAS

基于Session的认证,Cas-Server与Cas-Client之间的交流通过Session来完成。

HTTP的请求本身是无状态的,所以引入了Session的概念,存储在服务端,这样每次请求到来,都可以知道,oh,soga,isyou。这样子,无状态的请求就变成了有状态的请求,这是Cas。

JWT

基于Token的认证,一般应用于微服务架构项目中。

JWT采用的是无状态的登录方式,不像Cas客户端依赖于服务端。JWT的服务端不保存任何客户端请求信息,客户端的每次请求必须自己介绍自己是谁,服务端判断你有没有骗服务器。

Cas原理分析

在整个单点登录的过程中,我们部署了一个独立的cas-server项目,我们给我们的客户端集成了Cas。

浏览器,cas-server,cas-client,三者之间是怎样的一个交互过程。

网上有一张流传很广的图,三角形的,像那个啥一样。

在这里插入图片描述

访问流程

1、浏览器访问客户端A。

2、客户端A发现没有认证,重定向到cas-server认证去吧。

3、认证成功,cas-server返回给客户端A,TGC和ST。

4、客户端A拿到了TGC和ST,。

5、客户端A再次访问cas-server进行验证。

6、验证通过,返回自己本身客户端A。

7、现在,我们(浏览器)想要访问另一个客户端了,输入了我们的客户端B地址,跳转到cas-server,发现你身上有TGC,但是没有ST,cas-server给你生成ST。

8、客户端B拿到了TGC和ST,跑过去验证一下,通过,放行。

原理总结:

这是一种双重保护,不管是哪一个客户端,只要拿到TGC和ST,都必须到cas-server验证一下。

正儿八经的流程上,我们可以看到,这个ST明明是你刚给客户端发过去的,为什么还要验证呢,但是就这么一会的时间,如果有别的客户端伪造假的呢?

Ticket机制

TGT:数据结构为:<TGC,TGT>,留在服务端,TGC下放。

TGC:携带用户信息,cas-server明确用户身份的凭证。

ST:CAS为用户签发的访问某个service的一次性票据。

service:子系统地址。

TGT(Ticket Granting Ticket):dad

TGC(Ticket Granting cookie):mother

ST(Service Ticket):son

看这个比喻,形象。

1、认证成功之后,cas-server这个老爷爷,生下了一男(TGT)一女(TGC),然后这夫妻俩又生下了一个儿子,取名叫ST。

2、dad留在了家中(cas-server),mother与son去了他乡(cas-client)。

3、他乡待了一会,mother与son想dad了,访问cas-server,dad一看,哟,是不是我儿子啊,滴血认亲一下(验证)。

4、验证通过,是dad的son,一家三口过上了快乐的生活。

5、小别胜新婚,大别如初耶,快乐的日子总是短暂的,三个人团聚后,第二天娘俩又回到了客户端,访问成功。

Cas跳转实例

现在我们想要访问:http://localhost:8020

1、浏览器输入http://localhost:8020,重定向到cas-server认证界面。

地址栏变为:

http://localhost:8080/cas/login?service=http://localhost:8020

service就是客户端子系统地址,即目标地址。

2、cas-server认证页面输入用户名密码验证,认证成功后car-server生成TGT,授权的这个票,存在server端不走了。TGT生成ST,然后ST与TGC一起返回给前端。

3、现在浏览器有了cookie和ST,前端地址栏地址为:

http://localhost:8020/?ticket=ST-1-7I7963LWBGk1jcUCfbls-xiaolaoben

4、客户端接受请求经过cas-client的多个过滤器,跑到cas-server进行一番确认,根据TGC判断TGT是否存在,随后TGT判断该ST是否是自己签发的,匹配成功则登录成功,重定向service地址。

5、另一个应用系统第一次访问,重定向到cas-server,发现第一次来,但是cas-server中已经有TGC了,所以不用去server的登录页面了。但是没有ST,所以server生成ST,返回前端。

6、浏览器收到ST后,再次去cas-server鉴定,匹配成功,登录成功。

Cas-Server作用

老爷爷生一男一女。(认证通过)

一男一女再生娃。(娃用于校验)

客户端免登录原理

每一个客户端带着娘俩(TGC和ST)到Cas-Server验证,通过即可免登录。

不是说你随便造一个ST,来一大串字符串就可以假装是TGT的儿子的,TGT滴血认亲,就问你怕不怕,所以说mother(TGC),你不带着亲son(ST),你别想我(TGT)放行。

Cas实现步骤

单点登录还是很容易实现的,一共可以分为两步:

1、搭建Cas-Server客户端项目。

2、客户端集成到Cas-Server。

soeasy。

小老犇
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CAS单点登录原理解析(转载)
weixin_30493321的博客
03-03 3978
1、基于Cookie的单点登录的回顾 基于Cookie的单点登录核心原理: 将用户名密码加密之后存于Cookie中,之后访问网站时在过滤器(filter)中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。 该方式缺点就是多次传送用户名密码,增加被盗风险,以及不能跨域。同时www.qiandu...
cas之认证原理
小人物
06-14 689
CAS,Central Authentication Service—中央认证服务,是Yale 大学发起的一个企业级的、开源的项目,旨在为Web应用系统提供一种可靠的SSO解决方案。下面简单介绍SSO,重点介绍CAS认证过程。 一、    SSO简介   1.1   概念   SSO英文全称Single Sign On,是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应
CAS-Server】cas协议票据认证逻辑
maoye的博客
12-24 1850
cas协议票据认证逻辑Login流程初始化获取认证信息`Authentication`获取票据`TGT` Login流程初始化 当客户端发起登录操作请求/login流程时,首先会调用Login流程的初始Action。初始化Action的实现类为InitialFlowSetupAction.在doExecute(requestContext context)方法中回去验证票据。 @Override public Event doExecute(final RequestContext context
cas简介
pinghuqiuyue9的博客
11-02 619
session在web开发语境下,用来保存客户端和服务端之间的状态。除非程序通知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户退出的时候发个指令去删除session。关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间。 session实现: 在Cookie中写入sessionID,如tomcat默认写入为JSESSIONID URL重
单点登录CAS原理和实现
热门推荐
金玉良缘
11-14 10万+
1.开源单点登录系统CAS入门1.1 什么是单点登录单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。1.2 什
shiro+cas单点登录技术分析
05-30
分析shiro框架+cas单点登录系统的技术分析,解析了相关的技术难点
落雨博客基于CAS框架的单点登录技术讲解(ppt+code实例+doc)配套资料
04-26
3 CAS单点登录简介(针对实践选择的技术) 5 3.1 技术快速使用说明 5 3.1.1 设置服务器域名 5 3.1.2 生成证书(这里采用JDK自带的工具keytool) 5 3.1.3 为客户端JVM导入证书 6 3.1.4 将证书应用到Web服务器Tomcat 7...
单点登录CAS资料
09-18
单点登录(Single Sign-On,简称SSO)是一种网络...总的来说,单点登录CAS是一个强大的工具,它能够提高企业或组织的IT系统安全性,提升用户满意度。理解和掌握CAS原理及实施方法,对于IT专业人员来说是十分重要的。
Cas原理分析及协议详述
05-17
CAS2.0普通模式及代理模式的动画演示过程,通过该演示,能够初步了解单点登录cas原理
单点登录简单实现源码
05-19
单点登录(Single Sign-On,简称SSO)是一种网络用户身份验证的机制,允许用户在一次登录后,访问多个相互信任的应用系统而无需再次进行身份验证。本源码包提供了SSO的简单实现,适用于学习和理解SSO的基本原理与...
解析CAS登录流程
安然的博客
12-25 1569
最近的学习越来越虚浮,对于框架了解,仅存在于怎么用,但是至于为什么会这样,却一无所知.趁现在有点空闲的时间,将cas分析了一遍. cas的诞生是为了解决单点登录问题,本质还是为了解决session的共享问题. 假设我的spring security不整合cas,那么怎么解决单点登录,也许你会想到许多类似cas的框架,但是若是没有这些框架,你要怎么实现: 1.将session复制到每一个服务器?那么...
CAS】整体介绍
Dream it Possible
03-21 1972
一. CAS简介 CAS(Central Authentication Service)是 Yale大学发起的一个企业级的、开源的项目,旨在为 Web 应 用系统提供一种可靠的单点登录解决方法。CAS开始于2001年,并在2004年12月正式成为JA-SIG的一个项目。 二. CAS特性 1) 开源的、多协议的SSO解决方案,CAS Server和CAS Client通信支持多协议,如
CAS Ticket票据:TGT、ST、PGT、PT、PGTIOU【转】
stalin_的博客
09-19 1818
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。 1、术语解释 TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫
SpringBoot基础系列:CAS客户端获取用户信息
CancerKing的博客
08-26 4485
SpringBoot基础系列:CAS客户端获取用户信息
CAS—认证原理
大鹏
06-03 4万+
CAS,Central Authentication Service—中央认证服务,是Yale 大学发起的一个企业级的、开源的项目,旨在为Web应用系统提供一种可靠的SSO解决方案。下面简单介绍SSO,重点介绍CAS认证过程。 一、    SSO简介   1.1   概念   SSO英文全称Single Sign On,是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应
百度知道 CAS TGC 安全性问题
过客的博客
12-11 262
https://zhidao.baidu.com/question/327846076247824605.html
cas协议官方文档的理解(除代理模式)
DullBird的博客
06-16 2833
[CAS] TGT: 一种情况是tgt是一个对象,类似session,是验证成功之后创建的。存着一些信息,这种情况下tgc值就是tgt对象的id。另一种情况是tgt是一个字符串,那么tgc的值就是tgt,tgt还是需要关联session存储一些信息。 TGC: cookie,基本存储的就是tgt或者tgt的id。 TK : 从cas sever中获取, (cas实现是)根据t...
CAS实现SSO单点登录原理
weixin_30492047的博客
11-04 328
1.CAS 简介 简单的SSO的体系中,会有下面三种角色: 1,User(多个) 2,Web应用(多个) 3,SSO认证中心(1个) 虽然SSO实现模式千奇百怪,但万变不离其宗: 1  Web应用不处理User的登录,否则就是多点登陆了,所有的登录都在SSO认证中心进行。 2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值