单点登录与单点登出

最新推荐文章于 2023-05-13 19:33:41 发布
最新推荐文章于 2023-05-13 19:33:41 发布
阅读量1w 收藏 8
点赞数 3
分类专栏: 单点登录 文章标签: 单点登录 单点登出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33200676/article/details/82981742
版权

一、标准流程描述

CAS官网的标准流程:

SSO标准流程

 

流程描述:

First Access: 

第3步数据走向
第4步数据走向
  1. 第一次访问app.example.com(service地址),请求参数中session为空,app service没做过权限认证,所以重定向到CAS认证服务(cas.example.com/cas/login),经过URL编码的service地址作为参数一同传过去;
  2. 浏览器接收到重定向请求,跳转到CAS认证服务,因为请求参数中session为空,没有TGT信息,所以该用户没有登陆过。返回CAS的login页面;
  3. 用户在login页面提交后,用户名和密码提交到CAS,CAS对用户进行校验,通过之后生成一个TGT,并将它作为CAS的session key。重定向到service地址,参数为CAS提供的ST。
  4. 第二次访问app.example.com,这次携带了ST参数。app系统调用CAS的ServiceValidate服务,参数为service地址和ST。CAS通过ST验证,将ST,service地址以及新生成的app系统的局部sessionid存储到CAS数据库中(注销时用到),同时返回一个xml文件,包含了成功标识,认证对象和其他自定义的属性。app系统将ST和认证信息封装到局部session里,sessionid为CAS数据库中刚刚生成的那个。重定向到service地址。
  5. 第三次访问app.example.com,这次携带了sessionid。app系统通过session校验,返回请求的资源。

注:第3步和第4步中,CAS给用户提供了ST,用户又拿着ST到CAS进行ServiceValidate鉴权,可能会觉得多此一举。这是为了防止用户伪造ST。app系统并不知道用户访问时携带的ST是否合法(有可能是我们直接在地址栏输入的),所以需要再去CAS里询问一下,该用户是否有效。

Second Access To Same App:

  1. 携带session信息访问app系统,和单系统的权限认证模式相同,不需要再经过CAS认证。

First Access To Diff App:

第1步数据走向
  1. 第一次访问app2.example.com,未携带局部session信息,重定向到CAS认证服务(cas.example.com/cas/login),经过URL编码的service地址作为参数一同传过去,由于浏览器有CAS的全局session信息(TGT),直接通过CAS的用户校验,之后重定向到service地址,参数为CAS提供的另一个ST,之后的步骤相同。

流程类比:

CAS的login页面相当于大厦的保安处,大厦需要出入证才能进入(CAS session),CAS相当于接待大厅,app和app2相当于具体的部门楼层,需要各自的部门出入证(app session)才能进入。TGT相当于进入大厦的申请单,ST相当于进入部门的申请单。

第一次要去app部门的时候,没有大厦出入证,会被重定向到保安处,填写申请单(TGT),接待大厅判断此人是否是本公司员工,如果是的话将员工的申请单信息录入大厦出入证(CAS session)中,并发给员工。同时将员工进入app部门的申请单(ST)也发给员工。到达app部门时,部门接待处会向接待大厅验证申请单的合法性,确认是合法申请单时接待大厅会对员工信息做登记(存储到CAS数据库),告诉部门接待处已经成功通过验证并登记成功。部门接待处将员工信息录入到部门出入证(app session)中,发给员工。员工拿着部门出入证,进入部门。

第二次要去app部门的时候,如果有部门出入证(app session),可以一路绿灯直接进入。

第一次要去app2部门的时候,由于只有大厦出入证(CAS session),所以需要到接待大厅领取进入app2部门的申请单(ST),再去app2部门申请出入证(app session)。

注:

出入证都是一式两份。接待处一份,员工一份。

任何一方(接待处或员工)的大厦出入证失效后,所有的出入证都必须重新办理。

申请单是有时限的,当申请单过期时,必须重新填写申请单,领取出入证。

 

二、单点登出:

  1. 任意系统登出,都会跳转到sso认证中心进行统一登出,通过sessionId找到相应的token,再找到对应需要注销的子系统机器sessionId,跳转到子系统,销毁局部session,
  2. 销毁全局session(sso认证中心的session),删除token信息和数据库中的子系统信息,跳转到登录页面

 

参考文献:

单点登录原理与简单实现

最强SSO单点登录教程(三)单点注销流程分析

单点登录(SSO)看这一篇就够了

爱大福
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用cas实现mantis单点登录登出
06-07
用cas实现mantis单点登录登出,详细讲了mantis的程序修改用cas实现SSO,已经在实际中应用,非常有帮助
单点登录单点退出
最新发布
小汁的博客
02-24 407
单点登录单点退出
单点登录&单点登出(Cookie+ticket)
05-16
一个用Servlet实现的SSO的demo(一个SSO服务端工程和两个SSO客户端工程),可直接运行。
Java进阶SSO单点登录技术CAS-快速上手与原理探究视频教程
06-09
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 课程简介 本课程主要通过CAS来实现SSO,本教程会从最基本的基础知识讲起,由浅入深再到实战,完成多应用的单点登录功能。 本课程内容如下: 1、 什么是SSO和CAS 2、 CAS Server服务端和客户端的搭建和配置 3、 单点登录单点登出的实现和测试 4、 单点登录登出的原理探究等 知识点 l 相关概念或术语:SSO、CAS、TGT、TGC、ST l CAS Server服务端的搭建和配置 l CAS Client客户端的搭建和配置 l 单点登录的测试 l 单点登出的实现和测试测试 l 单点登录登出的原理探究等
cas单点登出的3个类
10-09
CAS单点登出问题及解决 二 (文章摘自笔者发在自己公司内部论坛的文章:谢绝转载)
单点登录(三)—— 单点登出原理手写实现
baolingye的博客
02-11 1407
单点登出原理 我们想实现单点登出,首先会想到在当前应用下把Session销毁即可,但是仔细一想,这样的话,是不能实现把与之共享一个token的应用的Session销毁,这条路不行。 那既然所有的应用登录都需要 ...
单点登录实现&用户模块
Crazy_sounding的博客
09-18 915
1 需求说明 要求用户只需要登录一次,那么就可以访问其他的认证系统,无需用户再次登录. 如果采用如下的配置,则必然会出现用户频繁登录的现象. 2 SSO介绍 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了
单点登录(SSO)看这一篇就够了
乌龟的专栏
03-13 8846
单点登录(SSO)看这一篇就够了
SSO单点登录/登出
Tzhennan的博客
05-16 3456
SSO单点登录 单点登录是指用户在某个应用系统上登录之后,进入其子应用或相关应用系统可以免去登录步骤,从而实现一次登录,到处操作。如:有业务服务器a.com和b.com,还有SSO服务器 sso.com,在a.com上完成登录操作之后访问 b.com 时是已登录状态。 1、用户首次访问 a.com/user 时,到 a.com 服务器获取不到session 2、给用户弹出一个SSO的登录...
CAS学习笔记四:CAS单点登出流程
拾级而上
01-18 2120
CAS 的登出包含两种情况,一种是CAS客户端登出,另一种是CAS单点登出,使用流程图说明这两者的不同。(一图胜千言) 总结自官方文档 CAS客户端登出流程 如图,客户端的登出仅仅是过期当前用户与客户端之间的会话,并未过期用户浏览器与CAS服务端建立的会话(没有处理TGC),此时如果用户再访问客户端的接口,无需输入账号密码立即登录成功。 全局单点登出流程 如图,用户访问CAS服务端单点登出接口(由客户端提供),CAS服务端根据请求携带的TGC,不仅过期了服务内TGT与ST,还向该TGC对应的客户端服
java单点登录系统.zip
03-30
单点登录系统 简单使用方法 1、boy-sso-example项目中直接在web.xml中添加如下代码,需要注意的是需要依赖boy-sso-client这个项目。 <filter> <filter-name>SSOAuth</filter-name> <filter-class>com.boy.sso.client.SSOFilter</filter-class> <init-param> <!-- 认证系统服务 --> <param-name>ssoService</param-name> <param-value>http://passport.com:8080/boy-sso-server/SSOAuth</param-value> </init-param> <init-param> <!-- 认证系统ticket名称 --> <param-name>cookieName</param-name> <param-value>boy-sso-client-id</param-value> </init-param> <init-param> <!-- 认证登出 --> <param-name>logoutStr</param-name> <param-value>/logout</param-value> </init-param> <init-param> <!-- 认证本地设置cookie --> <param-name>setCookieStr</param-name> <param-value>/setCookie</param-value> </init-param> <init-param> <!-- 过滤规则 --> <param-name>exclusions</param-name> <param-value>*/images/*,*/css/*,*/favicon.ico,*/js/*</param-value> </init-param> </filter> <filter-mapping> <filter-name>SSOAuth</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 2、部署运行boy-sso-server这个项目。
单点登录详解
jockha的博客
08-27 6542
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议无状态,那就让服务器和浏
Spring Security OAuth2 单点登录登出
热门推荐
shpunishment的博客
05-03 1万+
文章目录1. 单点登录1.1 使用内存保存客户端和用户信息1.1.1 认证中心 auth-server1.1.2 子系统 service-11.1.3 测试1.2 单点登录流程1.2.1 请求授权码,判断未登录,返回登录页1.2.2 登录成功,继续请求授权码,未被资源所有者批准,返回批准页面1.2.3 资源所有者批准,重定向返回授权码1.2.4 客户端获取到授权码,请求Token1.2.5 获取到...
图解SSO单点登录!文字不文字的,不重要!重要的是图片!先保存文中图片,有用!...
qq_18244417的博客
11-17 275
前言1、SSO 说明SSO 英文全称 Single Sign On,单点登录。SSO 是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。https://baike....
java 单点登出_CAS单点登出的原理
weixin_29825861的博客
03-02 486
【出版社直供】操作系统精髓与第九版91.6元包邮(需用券)去购买 >单点登出功能跟单点登录功能是相对应的,旨在通过Cas Server的登出使所有的Cas Client都登出。Cas Server的登出是通过请求“/logout”发生的,即如果你的Cas Server部署的访问路径为“https://localhost:8443/cas”时,通过访问“https://localhost:84...
单点登录系统:登录,登出,拦截器
Wolf__king的博客
05-13 1315
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。假设一个企业有多个应用程序,比如OA系统、CRM系统、ERP系统等等,。如果用户要使用这些系统,需要在每个系统中输入账号密码进行身份验证。
CAS之单点登出逻辑详解
m0_47495420的博客
11-18 2859
单点登出功能跟单点登录功能是相对应的,旨在通过Cas Server的登出使所有的Cas Client都登出。Cas Server的登出是通过请求“/logout”发生的,即如果你的Cas...
sso 登出_cas sso单点登录 登录过程和登出过程原理说明
weixin_39617470的博客
12-29 284
CAS大体原理我就不说了,网上一大把,不过具体交互流程没说清楚,所以有这篇文章,如果有错误,请多多指教登录过程用户第一次访问一个CAS 服务的客户web 应用时(访问URL :http://192.168.1.90:8081/web1 ),部署在客户web 应用的cas AuthenticationFilter ,会截获此请求,生成service 参数,然后redirect 到CAS 服务的log...
springcloud 单点登录登出
05-16
Spring Cloud提供了多种单点登录(SSO)解决方案,其中一个常见的方案是使用Spring Security和OAuth2协议。下面是一个简单的步骤来实现单点登录登出: 1. 配置OAuth2服务器:在Spring Cloud中,可以使用Spring Security OAuth2库来实现OAuth2服务器。需要在Spring Security配置文件中定义OAuth2客户端和授权服务器。 2. 配置客户端:在每个客户端中,需要将OAuth2客户端配置为与授权服务器通信。需要在每个客户端中定义客户端ID和客户端密码,以及授权服务器的URL。 3. 实现单点登录:在每个客户端中,需要将用户重定向到授权服务器以进行身份验证。在成功验证后,授权服务器将返回一个访问令牌。客户端可以使用此访问令牌来访问受保护的资源。如果用户尝试访问受保护的资源,但未经过身份验证,则会被重定向到授权服务器以进行身份验证。 4. 实现单点登出:在每个客户端中,需要调用授权服务器的单点登出API。授权服务器将删除用户的会话,并重定向到每个客户端以通知它们用户已注销。 以上是实现单点登录登出的基本步骤,具体实现方式可以参考Spring Security和OAuth2的文档和示例代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值