SSO - 单点登录原理 - CAS流程详解

最新推荐文章于 2023-03-03 07:39:54 发布
最新推荐文章于 2023-03-03 07:39:54 发布
阅读量650 收藏 5
点赞数
分类专栏: Java 文章标签: java sso cas tgt tgc
原文链接:https://blog.csdn.net/ban_tang/article/details/80015946
版权

文章目录

CAS的详细登录流程

上图是3个登录场景,分别为:第一次访问www.qiandu.com、第二次访问、以及登录状态下第一次访问mail.qiandu.com。

下面就详细说明上图中每个数字标号做了什么,以及相关的请求内容,响应内容。

1、第一次访问www.qiandu.com

标号1

用户访问http://www.qiandu.com,经过他的第一个过滤器(cas提供,在web.xml中配置)AuthenticationFilter。

过滤器全称:org.jasig.cas.client.authentication.AuthenticationFilter

主要作用:判断是否登录,如果没有登录则重定向到认证中心。

标号2

www.qiandu.com发现用户没有登录,则返回浏览器重定向地址。

首先可以看到我们请求www.qiandu.com,之后浏览器返回状态码302,然后让浏览器重定向到cas.qiandu.com并且通过get的方式添加参数service,该参数目的是登录成功之后会要重定向回来,因此需要该参数。并且你会发现,其实server的值就是编码之后的我们请求www.qiandu.com的地址。

标号3

浏览器接收到重定向之后发起重定向,请求cas.qiandu.com。

标号4

认证中心cas.qiandu.com接收到登录请求,返回登陆页面。

上图就是标号3的请求,以及标号4的响应。请求的URL是标号2返回的URL。之后认证中心就展示登录的页面,等待用户输入用户名密码。

标号5

用户在cas.qiandu.com的login页面输入用户名密码,提交。

标号6

服务器接收到用户名密码,则验证是否有效,验证逻辑可以使用cas-server提供现成的,也可以自己实现。

上图就是标号5的请求,以及标号6的响应了。当cas.qiandu.com即csa-server认证通过之后,会返回给浏览器302,重定向的地址就是Referer中的service参数对应的值。后边并通过get的方式挟带了一个ticket令牌,这个ticket就是ST(数字3处)。同时会在Cookie中设置一个CASTGC,该cookie是网站cas.qiandu.com的cookie,只有访问这个网站才会携带这个cookie过去。

Cookie中的CASTGC:向cookie中添加该值的目的是当下次访问cas.qiandu.com时,浏览器将Cookie中的TGC携带到服务器,服务器根据这个TGC,查找与之对应的TGT。从而判断用户是否登录过了,是否需要展示登录页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。

TGT:Ticket Granted Ticket(俗称大令牌,或者说票根,他可以签发ST)

TGC:Ticket Granted Cookie(cookie中的value),存在Cookie中,根据他可以找到TGT。

ST:Service Ticket (小令牌),是TGT生成的,默认是用一次就生效了。也就是上面数字3处的ticket值。

标号7

浏览器从cas.qiandu.com哪里拿到ticket之后,就根据指示重定向到www.qiandu.com,请求的url就是上面返回的url。

标号8

www.qiandu.com在过滤器中会取到ticket的值,然后通过http方式调用cas.qiandu.com验证该ticket是否是有效的。

标号9

cas.qiandu.com接收到ticket之后,验证,验证通过返回结果告诉www.qiandu.com该ticket有效。

标号10

www.qiandu.com接收到cas-server的返回,知道了用户合法,展示相关资源到用户浏览器上。

  至此,第一次访问的整个流程结束,其中标号8与标号9的环节是通过代码调用的,并不是浏览器发起,所以没有截取到报文。

2、第二次访问www.qiandu.com

上面以及访问过一次了,当第二次访问的时候发生了什么呢?

标号11:用户发起请求,访问www.qiandu.com。会经过cas-client,也就是过滤器,因为第一次访问成功之后www.qiandu.com中会在session中记录用户信息,因此这里直接就通过了,不用验证了。

标号12

用户通过权限验证,浏览器返回正常资源。

3、访问mail.qiandu.com

标号13

用户在www.qiandu.com正常上网,突然想访问mail.qiandu.com,于是发起访问mail.qiandu.com的请求。

标号14

mail.qiandu.com接收到请求,发现第一次访问,于是给他一个重定向的地址,让他去找认证中心登录。

上图可以看到,用户请求mail.qiandu.com,然后返回给他一个网址,状态302重定向,service参数就是回来的地址。

标号15

浏览器根据14返回的地址,发起重定向,因为之前访问过一次了,因此这次会携带上次返回的Cookie:TGC到认证中心。

标号16

认证中心收到请求,发现TGC对应了一个TGT,于是用TGT签发一个ST,并且返回给浏览器,让他重定向到mail.qiandu.com

可以发现请求的时候是携带Cookie:CASTGC的,响应的就是一个地址加上TGT签发的ST也就是ticket。

标号17

浏览器根据16返回的网址发起重定向。

标号18

mail.qiandu.com获取ticket去认证中心验证是否有效。

标号19

认证成功,返回在mail.qiandu.com的session中设置登录状态,下次就直接登录。

标号20

认证成功之后就反正用想要访问的资源了。

BigManing
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSOCAS单点登录详细图文教程
07-13
SSOCAS单点登录详细教程+CAS服务端jar+CAS服务端应用+客户端jar
CAS实现单点登录SSO)过程浅析
qq_42093488的博客
11-27 400
一、何谓单点登录 单点登录(Single Sign On),简称为SSO,简单理解就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 二、何谓CAS CAS(Central Authentication Service)是耶鲁大学的一个开源项目,旨在为web应用系统提供一种可靠的单点登录解决方案。采用CAS最大的是从安全性角度来考虑的,用户在CAS录入用户名和密码之...
单点登录-无插件式SSOcas标准)流程
qq_40224163的博客
01-12 349
单点登录SSO),英文全称为 Single Sign On。SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。IDaaS SSO 服务用于解决同一公司不同业务应用之间的身份认证问题,只需要登录一次,即可访问所有添加的应用。more。
CAS实现不同应用展示不同的登录页
06-24
基于CAS单点登录系统,可以通过这些步骤来实现不同系统展示不同的登录页,但是登录后的信息共享
CAS单点登录原理
weixin_43911286的博客
03-03 571
转载地址:转载博客 1、基于Cookie的单点登录的回顾 基于Cookie的单点登录核心原理: 将用户名密码加密之后存于Cookie中,之后访问网站时在过滤器(filter)中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。 该方式缺点就是多次传送用户名密码,增加被盗风险,以及不能跨域。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码,如果涉及到修改操作,则需要修改两处。 2、统一认证中心方案原理 在生活中我们
Cas登录流程
xiaoguangtouqiang的博客
08-24 1635
最近的项目中需要使用cas单点登录,做个简单的记录,梳理下整个cas认证流程;这里以自己的应用为例;我项目的地址是 http://172.26.4.13:9998/ 1>第一次访问http://172.26.4.13:9998/应用;访问任何一个需要权限的地址,后端的filter会拦截请求,并重定向到cas的地址 可以看到这里的状态码302,重定向的地址是 https://g...
CAS单点登录用户注册后自动登录
04-12
NULL 博文链接:https://binghejinjun.iteye.com/blog/1701688
cas单点登录认证原理
Lordinloft的专栏
03-03 380
讲述CAS认证原理
跨域SSOCAS)实现过程
热门推荐
小名同学
02-20 1万+
原文出处:https://www.cnblogs.com/btgyoyo/p/10722010.html 跨域SSOCAS)实现过程 用户访问产品 a,域名是http://www.a.cn。 由于用户没有携带在 a 服务器上登录的 a cookie,所以 a 服务器重定向到SSO 服务器的地址。 由于用户没有携带在 SSO 服务器上登录的TGC,所以 SSO 服务...
CAS登录认证
weixin_45892228的博客
12-06 1756
CAS最基本的协议过程:名词解释Ticket Grangting Ticket(TGT) : TGTCAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。当HTTP再次请求到来时,如果传过来的有CAS生成的cookie,则CAS以此cookie值为key查询缓存中有无T
cas核心流程
07-04
cas核心业务流程图,cas核心业务流程图,cas核心业务流程
SSO是什么?CAS是什么?
01-20
SSO SSO是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。  CAS CAS 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(SSO的一种框架) CAS 包括两部分: CAS Server 和 CAS Client  CAS Server:负责完成对用户的认证工作 , 需要独立部署。 CAS Client:负责处理对客户端受保护资源的访问请求,需要对请求方进行身份认证时,重定向到 CAS Server 进行认证。 作者:进击的小名
CAS单点登录-自定义认证登录策略(五)
Lambda
06-26 1417
在上一节中我们使用了CAS的提供的JDBC 方式的登录认证,基本上能够满足我们多种需求的认证。 但是如果CAS框架提供的方案还是不能满足我们的需要,比如我们不仅需要用户名和密码,还要验证其他信息,比如邮箱,手机号,但是邮箱,手机信息在另一个数据库,还有在一段时间内同一IP输入错误次数限制等。这里就需要我们自定义认证策略,自定义CAS的web认证流程。 自定义认证校验策略 我们知道C...
cas 自定义登录页面
11-20
详细描述了cas 自定义登陆页面的配置与demo
单点登录sso-shiro-cas-maven
10-19
# sso-shiro-cas spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的是MySQL5.0,数据库名为db_test 3. spring-node-1: 应用1 4. spring-node-2: 应用2 其中node1跟node2都是采用spring + springMVC + mybatis 框架,使用maven做项目管理 ## cas集成说明 1.首先采用的是查数据库的方式来校验用户身份的,在cas/WEB-INF/deployerConfigContext.xml中第135行构建了这个类型 ``` xml ``` 其中QueryDatabaseAuthenticationHandler这个类是自定义构建的,在cas/WEB-INF/lib/cas-jdbc-1.0.0.jar里面,有兴趣的同学可以发编译看下,关于几个属性的说明 1. dataSource: 数据源,配置MySQL的连接信息 2. passwordEncoder: 加密方式,这里用的是MD5 3. sql: sql查询语句,这个语句就是根据用户输入的账号查询其密码 #### 以上就是单点登录管理的主要配置 ## 应用系统的配置node1 1. 应用系统采用shiro做权限控制,并且跟cas集成 2. 在/spring-node-1/src/main/resources/conf/shiro.properties 文件中 ``` properties shiro.loginUrl=http://127.0.0.1:8080/cas/login?service=http://127.0.0.1:8081/node1/shiro-cas shiro.logoutUrl=http://127.0.0.1:8080/cas/logout?service=http://127.0.0.1:8081/node1/shiro-cas shiro.cas.serverUrlPrefix=http://127.0.0.1:8080/cas shiro.cas.service=http://127.0.0.1:8081/node1/shiro-cas shiro.failureUrl=/users/loginSuccess shiro.successUrl=/users/loginSuccess ``` 其中shiro.loginUrl 跟 shiro.logoutUrl的前面是cas验证的地址,后面的是我们应用系统的地址,这样配置的方式是为了在访问我们的应用系统的时候,先到cas进行验证,如果验证成功了,cas将重定向到shiro.successUrl 所表示的地址 3.在/spring-node-1/src/main/resources/conf/shiro.xml 文件中 ``` xml /shiro-cas = casFilter /logout = logoutFilter /users/** = user ``` > 其中shiroFilter这个类主要用于需要拦截的url请求,需要注意的是这个是shiro的拦截,我们还需要配置cas的过滤配置casFilter > casRealm这个类是需要我们自己实现的,主要用于shiro的权限验证,里面的属性说明如下 1. defaultRoles: 默认的角色 2. casServerUrlPrefix: cas地址 3. casService: 系统应用地址 最后我们还需要在/spring-node-1/src/main/webapp/WEB-INF/web.xml 文件中配置相关的过滤器拦截全部请求 ``` xml shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /* ``` ## 系统运行 1. 端口说明,cas:8080,node1:8081,node2:8082,大家可以采用maven提供的tomcat7插件,配置如下: ``` xml org.apache.tomcat.maven tomcat7-maven-plugin 2.1 8081 UTF-8 tomcat7 /node1 ``` 这样的配置,我们甚至都不需要配置tomcat服务器了,建议这种方式 2.各个模块的访问地址 > cas:http://127.0.0.1:8080/cas > node1:http://127.0.0.1:8081/node1 > node2:http://127.0.0.1:8082/node2 3.访问系统 > 输入 http://127.0.0.1:8081/node1/shiro-cas ,进入cas验证 > 输入用户名 admin,密码 admin@2015,验证成功后将会重定向到http://127.0.0.1:8081/node1//users/loginSuccess ,也就是node1系统的主页,里面的节点2代表的是node2系统的主页,你会发现我们不需要登录到node2系统就能访问其中的系统了
CAS 单点登录 5.39 版本 自定义登录页面改造 响应式页面-附件资源
03-05
CAS 单点登录 5.39 版本 自定义登录页面改造 响应式页面-附件资源
CAS支持客户端自定义登陆页面——客户端篇
03-17
NULL 博文链接:https://yeminping.iteye.com/blog/411742
cas单点登录后跳转回原来的url_你3年工作经验,竟然连单点登录原理都没答清楚,肯定要被刷啊......
weixin_29061509的博客
12-22 847
点击上方“方志朋”,选择“设为星标”回复”666“获取新整理的面试资料来自:nodotnet | 责编:乐乐链接:https://urlify.cn/bQBjyu# Single Sign-onSSO是老生常谈的话题了,但部分同学对SSO可能掌握的也是云里雾里,一知半解。本次手撕公司的SSO原理,试图以一种简单,流畅的形式为你提供有用的SSO原理。按照本人一贯行文风格,我们先说什么是SS...
rest sso 和_SSO企业单点登录系统——CAS REST认证方式
最新发布
05-19
REST SSOCAS REST认证方式都是企业单点登录系统中的认证方式。 REST SSO是基于RESTful API的单点登录系统,具有轻量级、高效、可扩展等优点。它的原理是,用户在认证服务器上登录后,会得到一个加密的token,这个token会被存储在浏览器cookie中,当用户访问其他系统时,这个token会被发送给其他系统进行验证,从而实现单点登录CAS(Central Authentication Service)是一个开源的企业单点登录系统,支持多种认证方式,包括基于REST的认证方式。CAS REST认证方式是通过RESTful API实现单点登录的一种方式,与REST SSO类似。用户在认证服务器上登录后,会得到一个加密的token,这个token会被存储在浏览器cookie中,当用户访问其他系统时,这个token会被发送给其他系统进行验证,从而实现单点登录。 总的来说,REST SSOCAS REST认证方式都是基于RESTful API的企业单点登录系统,实现方式类似,但是具体实现细节和使用场景还是有所区别的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值