CAS开篇--基于请求理解CAS流程

最新推荐文章于 2024-05-23 15:01:59 发布
最新推荐文章于 2024-05-23 15:01:59 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: cas,shiro cas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32924343/article/details/68488425
版权
shrio 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
cas,shiro
3 篇文章 0 订阅
订阅专栏
cas
1 篇文章 0 订阅
订阅专栏

突然写了一篇关于CAS的文章,也是够了,由于恰巧项目中在和移动端交互时出了一点问题,发现之前CAS的了解还是不够清楚,再次重新记录一下。

对于CAS的安装什么鬼玩意儿的,自己架构实现的,暂时不去管了,笔者项目中是spring-secret集成的。之前看过,但是没有笔记,也不想记录了,本篇就如标题,流程分析。

下图为笔者重划图,CAS的时序图看的不是很清晰,只能自己重新划

还是结合项目的请求来说吧。

1. 首先请求 127.0.0.1:8080/xxxxx ,此时请求头内并没有Cookie信息的存在,因此项目中生成了一个新的Cookie并返回给浏览器,临时会话就此产生。

name : JsessionId  value: 12345678A。这个就是记录在浏览器中和项目的会话Cookie,之后的请求都会带着,那么翻了一下代码,这个存储在浏览器的Cookie有效期为30天,这个Cookie记录的JsessionId记录在项目中的redisSession中,设置的有效期为30分钟。其实当第一次请求之后,如果授权成功的话,之后的请求都会带着Cookie的JsessionId去访问系统,系统发现这个JsessionId还没有失效,说明当前为登录状态,就不需要再去CAS拿这个用户的登录信息了。如果失效的话,这种情况下面再说。

2. 此时系统为当前用户记录了一个临时会话,保存的Id值就是Cookie的JsessionId,但是此时用户还未登录,在响应头中可以看见一个location 的URL,这个就是去登录CAS的。可以看见,login请求返回了一个登录页面,此处由于未登录,如果此处是登录的情况,那么返回时不一样的,下面讨论。响应头内也返回了一个Cookie 的JsessionId,可以猜测和系统中使用的是一套东西。

3.翻看浏览器的记录也能发现,当前维护的会话是哪些。一个是当前系统的会话,一个事CAS的会话。

4.下一步就是登陆了。看看登陆时操作了什么,首先是POST请求CAS的login请求。可以看见这个login请求返回的是个302 URL。也就是下面的带有票据 ticket的check请求。

那么通过这种方式发给系统,带有ticket。系统得到这个ticket之后,会在后台发送一个请求并带上这个ticket去CAS验证用户使用这个合法的ticket,验证有效后,返回用户信息。最终302 到一开始访问的接口上,执行请求。此次login请求成功返回之后,其实在Cookie中记录了一个叫CASTGC的东西。TGC存放了CAS服务端实现的叫做TGT的id,其实这个就是为之后系统判定用户session失效后需要重定向到CAS去时带的东西,如果找到,说明用户之前登陆过,就不需要二次登录了。

5.到此,一次请求结束,那么CAS和用户就建立起了一个联系。CAS记录了这个用户的登录信息。TGT,利用Cookie实现保存了TGC,里面记录了TGT的id。

 

总结: 一次未授权登录过的请求执行时,最终会有两个Cookie生成,一个是用户与系统的,里面记录了JsessionId,这个会话在本系统的有效期为30分钟,这个30分钟是相对时间的概念。是一次请求和上次请求只要在间隔的30分钟内,就不需要重定向到CAS去,而这个Cookie本身的有效期为30天,这是一个绝对时间的概念,在30天内,这个Cookie是有效的,但是里面的的JSessionId的相对间隔时间只有30分钟,这个是笔者公司的项目设计如此,不同的公司设计的是不一样的。

 

接下来为二次请求同一系统,二次请求时会带着JSessionId,

1.如果未失效的话,也就是系统判定为用户为登录状态,直接返回资源。

2.如果失效的话,会重定向到CAS去,请求如下。注意和第一次的区别,第一次请求时,请求头内只有Cookie,并没有TGC信息。第二次请求时带上了TGC信息,这个信息就是去找存储在CAS的TGT信息,如果TGT存在的话,直接请求location中的URL,这个URL带上了ticket票据信息。这边和第一次登陆时差不多,但是和CAS的登录授权又有区别了,相当于这边不在需要你登录了,直接给你跳转到你的实际请求中去了。此处和CAS交互的JsessionId的过期时间暂时不知道,只知道这个Cookie本身的失效时间为30天。

 

接下去就是登录另一个系统了,暂且成为B。发现另一个系统的Cookie也生成。

请求CAS的时候还是获取之前登录过的TGC信息去CAS端获取这个用户的登录信息,此处就是不知道当前Cookie中的CAS的tsid在公司CAS服务器的Session设置的有效时间为多长,所以不好判断,如果这个tsid也失效,会出现什么情况。暂且忽略吧。此处请求发现了登录状态,所以响应成功,跳转到原始请求页面。结束。

 

 

至此分析结束。只是基于请求状态和流程图分析了这个过程,无奈CAS服务端的实现并不能看见,所以无法进一步分析,CAS里面的详细处理过程,不过以上流程应该足够你应付很多的场景了。先结帖,以后有幸的话再来更新吧。

最后贴一张清晰图

刘二郎
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CAS深度解析(JAVA)
X_X_K的博客
06-03 417
1
CAS协议的抓分析
David.turing's Security Blog
05-26 373
近日有朋友想了解一下CAS的协议的HTTP流程,我之前抓过,现在贴出来,希望对那位朋友有所帮助。CAS Server:caserver:7002Tomcat APP应用:appserver01:8080访问 appserver01:8080 的 SessionExample<o:p></o:p> GET /servle...
CAS操作
最新发布
他叫阿来
05-23 540
CAS 指令含 3个参数:共享变量的内存地址 A、用于比较的值 B 和共享变量的新值 C;并且只有当内存中地址 A 处的值等于 B 时,才能将内存中地址 A 处的值更新为新值 C。CAS是项乐观锁技术,当多个线程尝试使用CAS同时更新同一个变量时,只有其中一个线程能更新变量的值,而其它线程都失败,失败的线程并不会被挂起,而是被告知这次竞争中失败,并可以再次尝试。利用CPU的CAS指令,同时借助JNI来完成Java的非阻塞算法,实现原子操作,其它原子操作都是利用类似的特性完成的。类型的CAS原子操作。
CAS源码追踪系列三:cas-server端对请求的处理
徐小陌的博客
11-17 1171
CAS源码追踪系列三:cas-server端对请求的处理 目录 InitialFlowSetupAction ServiceAuthorizationCheck AuthenticationViaFormAction SendTicketGrant...
cas登录流程解析及springboot集成cas
qq_65642052的博客
08-08 4022
cas详细登录流程及springboot集成cas(前后端一体)
cas 单点登录_CAS单点登录原理解
weixin_39676348的博客
11-28 252
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS是一种基于http协议的B/S应用系统单点登录实现方案,认识CAS之前首先要熟悉http协议、Session与Cookie等Web开发基本知识。1.http协议 HTTP是一个客户端和服务器端请求和应答的标准,我们全后端开发对接的Rest接口就是基于htt...
cas-overlay-template-6.4 服务端代码
01-28
1.CAS-集成mysql 2.CAS-日志审计 3.CAS-连接池配置 4.CAS-自定义错误信息 5.CAS-识别json文件 6.CAS-页面缓存记住我 7.CAS-cookie设置 8.CAS-tgc设置 9.CAS-登出 10.CAS-redisCluster集群存储ticket(相应redis必须...
cas-client-core-3.5.1.jar
04-11
CAS Client 3.5.1客户端,用于单点登录客户端拦截,编译环境JDK1.8,可用于JDK1.8及以上Java版本。
cas-server-3.5.1-release.zip
04-11
这个"cas-server-3.5.1-release.zip"文件含了CAS服务器3.5.1版本的源码、文档和其他相关资源,允许开发者进行定制化部署和扩展。 在CAS 3.5.1版本中,主要关注以下几个关键知识点: 1. **单一登录机制**:CAS的...
cas-server-webapp-tomcat-5.3.14
06-04
cas服务器war,用于搭建cas认证服务器,由于国内网的原因,下载老是超时,故此提供给,cas-server-webapp-tomcat-5.3.14
cas-server-4.0.0-release与依赖.zip
08-09
"cas-server-4.0.0-release" 是CAS服务器的核心发布,它含了CAS服务器的所有源代码和编译后的可执行文件。这个版本的发布通常括了以下内容: 1. **源码**:开发者可以深入理解CAS的工作原理,自定义配置或...
CAS配置REST请求方式所需JAR和测试类
12-06
cas单点登录通过rest方式获得票据:cas-server-integration-restlet-4.0.0.jar, org.restlet-3.0-M1.jar, org.restlet.ext.servlet-3.0-M1.jar , org.restlet.ext.spring-3.0-M1.jar
cas核心流程
07-04
cas核心业务流程图,cas核心业务流程图,cas核心业务流程
cas学习笔记
white_bird_shit的博客
06-04 290
CAS 1. 简介 cas 是一套单点登录的具体实现,耶鲁大学开发, 目前最高版本为6.x (6.x使用gradle编译)  此处使用5.x版本(maven编译) 分为两部分,服务端和客户端 服务端就是统一的认证中心,客户端就是所有需要接入单点登录的系统 2.服务端 2.1 下载 [cas github地址]: https://github.com/apereo/cas    “源码地址” cas不建议直接在源码上修改,提供了一个模板项目,在模板项目上做扩展 2.2
【集合】统一身份认证(CAS)和OAuth2的工作流程
tpriwwq的专栏
07-12 2万+
单点登录SSO(Single Sign ON),指在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录。统一身份认证CAS(Central Authentication Service)是SSO的开源实现,利用CAS实现SSO可以很大程度的降低开发和维护的成本。...
CAS 实现单点登录(SSO)基本实现流程(一)
热门推荐
何静媛
03-15 2万+
单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。   CAS (Central Authentication Service),中央认证服务。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架
cas的rest协议请求方式
Ronux的专栏
08-11 4664
1.cas-server-webapp加入restlet配置 2.客户端请求 请求URL: http://192.168.20.103:8080/cas-server-webapp/v1/tickets请求体:username=admin&password=123456&service=http://192.168.20.103:8080/zgr-cas-integrate响应信息:状态码:201
CAS SSO基本工作原理
11-25 3196
下面分析CAS SSO(以3.4.5为例)的基本工作原理。先假定一个应用场景,如图,有两个Web应用分别是webapp1、webapp2(Spring Security 3应用) 。一个认证服务器CAS(假设部署在http://domain-cas/cas-server)。我们看三个典型阶段:     一、未登录用户访问webapp1应用 1. 用户发起起始请求到某一应用。如网址
cas-server-5.2.4下载
10-13
cas-server-5.2.4是基于Java语言开发的,因此,在下载cas-server-5.2.4之前,我们需要确保我们的计算机上已经安装了Java运行时环境(JRE)。如果没有安装,我们可以从Oracle官方网站下载并安装最新版本的Java运行时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值