CAS实现单点登录(SSO)过程浅析

于 2019-11-27 23:21:50 发布
阅读量565 收藏 1
点赞数
分类专栏: spring
原文链接:http://www.sohu.com/a/146808825_575744
版权

一、何谓单点登录

单点登录(Single Sign On),简称为 SSO,简单理解就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

二、何谓CAS

CAS(Central Authentication Service)是耶鲁大学的一个开源项目,旨在为web应用系统提供一种可靠的单点登录解决方案。采用CAS最大的是从安全性角度来考虑的,用户在CAS录入用户名和密码之后通过ticket进行认证,不会在网上传输密码,保证安全性。

三、CAS中的关键词理解

ST(Service Ticket):服务票据,服务的唯一标识码,由TGT生成ST,返回给用户,接着拿着生成的ST去访问service,service又会把ST拿到CAS系统去验证,验证通过后才允许用户访问该资源。

TGC( Ticket Granting Cookie):CAS系统用来识别用户身份的凭证。

TGT(Ticket Grangting Ticket):授权票据,获取这TGT之后才能申请服务票据(ST),用户如果在CAS系统认证成功之后,就会生成TGC写入浏览器,同时也生成一个TGT,TGT对象的id就是cookie值。之后每次请求过来通过此cookie来从缓存获取TGT,就不用提交身份认证信息(Credentials)。

Session:各个应用系统会创建自己的session表示是否登录,而这里的每个session都是ST验证通过之后组装生成的。

四、实现原理

假设我们现在有应用系统A、应用系统B、CAS认证系统

1、第一次访问系统A时,没有票据(ST),也没有session,会重定向到CAS服务器,要求用户输入用户名和密码,之后CAS向浏览器写入TGC,同时生成TGT保存到缓存,CAS服务器会根据TGT生成ST,然后CAS会重定向到给应用系统A,CAS将这个ST和成功登录的用户,以及服务联系在一起。这个ST使用次数(numberOfUses)和有效时间(timeToKill)是可配置的,超过设置的次数或者超过有效时间就会失效。

2、应用系统A收到这个ST之后,它并不知道这个用户已经登录成功,就通过将ST 传递给一个校验URL,校验URL拿到Cas系统去验证,CAS通过验证之后返回用户信息,并且将ST作废。

3、应用系统A根据从CAS收到的用户信息将session创建起来,这样我们的应用就拥有了一个自己的session。

4、第一次访问另一个应用系统B,也是没有票据(ST),也没有session,会再次被重定向到CAS系统,CAS系统会去获得TGC,如果该TGC没有失效,则拿到TGT生成ST给用户重定向到系统B,系统B拿到ST之后再去CAS系统验证(同应用系统B的验证方式),验证成功则创建session;如果 TGC失效,那么用户还是要重新认证。

5、再去访问系统A时,没有票据,因为票据只能用一次,但是我们有session,所以不用跳转到CAS去签发票据了,直接允许用户访问。

6、用户登出的时候,CAS系统接受请求后,会检测用户的TGC,把对应的session清除,同时会找到所有通过该TGC进行SSO登录的应用服务器URL提交请求,所有的回调请求中,包含一个参数logoutRequest,内容格式如下:

<samlp:LogoutRequest ID="[RANDOMID]" Version="2.0" IssueInstant="[CURRENTDATE/TIME]">

<saml:NameID>@NOT_USED@</saml:NameID>

<samlp:SessionIndex>[SESSIONIDENTIFIER]</samlp:SessionIndex>

</samlp:LogoutRequest>

所有收到请求的应用服务器会解析这个参数,取得sessionId,根据这个Id取得session后,把session清除。

四、列举点融网统一验证中心后端的一个例子

现有两个系统,一个是techops应用系统,是web界面的管理控制台,通过techops录入资源,角色,做权限分配。

另一个是cas系统,即我们的单点登录系统,各个子应用系统通过cas做sso认证。

1、我在本地部署起来两个系统之后,第一次访问techops应用系统http://localhost:8143/techops/,此时我们没有票据,也没有session会重定向到CAS系统。

CAS统一认证登录界面如下,我们看到的链接是:http://localhost:8142/cas/login?service=http%3A%2F%2Flocalhost%3A8143%2Ftechops%2Flogin%2Fcas

后面加入了一个service,通过decodeURIComponent('http%3A%2F%2Flocalhost%3A8143%2Ftechops%2Flogin%2Fcas');解析之后的样子:"http://localhost:8143/techops/login/cas",就是在用户登录成功之后跳转的URL。

2、我们输入用户名和密码,登录成功之后,会跳转到techops系统,携带了一个ticket = ST-1-oYYmrbiaZ7LnFlA77rfr-cas01.dianrong.com(随机生成),同时我们也看到了CAS向浏览器写入了TGC。

techops系统界面如下:

3、下次我们再去访问http://localhost:8143/techops,就不会去签发ticket了,此时techops已经根据从CAS返回的用户信息将session创建起来,我们的session是已经有信息了,浏览器后台是看不到重定向到CAS系统去验证这些流程了。

&友情岁月&
关注
专栏目录
CAS单点登录
02-25
里面包括三个tomcat,其中一个扮演CAS Server角色,另外两个扮演APP角色。 访问APP1时,跳转到CAS Server进行认证,通过后进入APP1,然后可以直接跳转到APP2,无需认证。 详细说明见:http://blog.csdn.net/tch918/article/details/19930341
cas单点登录
最新发布
qq_41562817的博客
01-02 400
故当前项目:测试登录地址http://xxx.xx.xx.x:3000/#/login 单点地址为http://xxx.xx.xx.x:3000/#/casLoad。背景:在原先正常登录的项目追加一个单点登录,所以我的逻辑代码都在casLoad页面。可能原因:部分门户A但不属于B的用户,在A处登录后来到B,验证B返回非200,于是又返回A,但是A认为成功登录又来到B......① 访问B系统单点登录页面检测到未登录,需要先跳转到cas认证中心(A)登录,获取票据。
CAS单点登陆
渣男的博客
10-09 194
1、主要是两个应用server和client 2、server一般单独部署。client跟应用一起,通过filter的方式监控,保护受保护的资源 3、流程: 客户端先发送请求受保护的资源(需要登陆才能获取到的东西)——发现没有登陆(HTTP请求中没有Service Ticket,一般登陆成功后会返回这个ST)—— 重定向到CAS服务器进行身份认证,登陆成功后返回用户身份信息凭证,用于以后获取...
Cas单点登录
hxf123456789的博客
05-11 404
登录CAS系统流程图Ø  浏览器第一次访问系统A(CAS客户端)。1.        系统A去Cookie中取JSESSION,Cookie中没有JSESSION(TGC),说明系统A未登录。2.        系统A重定向到CAS服务端,CAS服务端检查是否已生成TGT(浏览器和客户端之间的全局会话),没有TGT,说明当前打开的浏览器没有进行过登录操作。3.        重定向到CAS服务端登...
使用springboot结合vue实现sso单点登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 单点登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 单点登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
PHP 使用TP5.0 实现SSO单点登录
07-28
因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
spring + shiro + cas 实现sso单点登录的示例代码
08-29
Spring + Shiro + CAS 实现 SSO 单点登录示例代码 本篇文章主要介绍了 Spring + Shiro + CAS 实现 SSO 单点登录的示例代码,具有一定的参考价值。下面将详细介绍标题、描述、标签和部分内容中所涉及到的知识点。 ...
集成cas实现单点登录认证.zip
12-19
在IT行业中,单点登录...总的来说,"集成cas实现单点登录认证.zip"提供的资源将指导你完成整个SSO集成过程,从安装CAS服务器到配置若依应用,再到解决可能遇到的问题,帮助你构建一个安全、便捷的单点登录环境。
CAS单点登录(java)
04-30
CAS单点登录CAS单点登录CAS单点登录CAS单点登录
sso/cas单点登录Java maven版 含服务端客服端
02-26
SSO(Single Sign-On)是单点登录的缩写,是一种网络用户身份验证的机制,允许用户在一次登录后访问多个应用系统而无需再次验证。CAS(Central Authentication Service)是SSO的一种实现,由耶鲁大学开发并开源,它...
使用 CAS 在 Tomcat 中实现单点登录
04-14 631
CAS 介绍CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 开源的企业级单点登录解决方案。 CAS Server 为需要独立部署的 Web 应用。 CAS Client 支持非常多的客户端(这里指单点登录系统中的各个
JWT与CAS实现SSO单点登录方案解析
"SSO单点登录方案大全.pdf是一份详尽介绍SSO单点登录技术的文档,适合需要实施单点登录解决方案的IT从业者参考。文档主要涵盖了三种主流的单点登录方案,包括同一公司同父域下、不同域下以及不同公司间的第三方登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值