简述CAS单点登录的实现原理

已于 2023-05-08 00:37:31 修改
阅读量1k 收藏 5
点赞数 2
分类专栏: 常见面试题 文章标签: java
于 2023-04-28 00:33:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42133976/article/details/130417933
版权

CAS

CAS(Central Authentication Service)单点登录系统是一种常见的身份验证和授权解决方案,它可以让用户在一个认证中心(CAS服务器)上登录,然后使用此登录信息访问多个应用程序而无需再次登录。

先了解几个名词:

  • TGC:(Ticket-granting Cookie),存放 SSO 用户身份凭据的 Cookie,类似 JSESSIONID。
  • TGT:(Ticket Granting Ticket),在 SSO 中标识一位用户,类似 Session。
  • ST:(Service Ticket),作为一个参数跟在 url 后面, 代表 CAS 为某一用户访问 CAS 客户端签发的凭据。
    The TGT (Ticket Granting Ticket), stored in the TGC cookie, represents a SSO session for a user. The ST (Service Ticket), transmitted as a GET parameter in urls, stands for the access granted by the CAS server to the CASified application for a specific user.

登录时序图

红色字体是我添加的翻译 ,可能不够准确,仅供参考
官网提供的时序图

首次认证流程

按上述步骤启动 CAS 相关应用后,打开浏览器,访问 https://localhost:9443/sample/,输入口令完成登录,在 Fiddler 中过滤无关请求,需要学习的请求如图。
CAS认证流程

  1. 序号 930,第一次访问 https://localhost:9443/sample/,会经过 CAS 提供的过滤器 org.jasig.cas.client.authentication.AuthenticationFilter,过滤器判断到当前用户没有登录,将请求重定向到认证中心,如图;
    CAS认证--重定向到 CAS 服务器

    重定向的地址是在过滤器参数中配置的 casServerLoginUrlservice 参数值则是过滤器参数中配置的 serverName,即认证后要跳转的地址。

  2. 序号 932,CAS 服务器接收到登录请求,返回登录页面;
    CAS登录页面

  3. 序号 956,用户输入口令后提交登录,CAS 服务器验证用户名密码是否有效(这里使用静态认证),如图;
    CAS 认证--登录提交

    使用 POST 请求的方式提交登录表单,用户认证成功后,请求的响应码是 302,指示浏览器将请求重定向到最开始访问的地址。重定向的地址通过 querySpring 携带了一个 ticket 参数。同时会设置一个名为 TGC 的 Cookie,路径为 /cas/。下次访问 https://cas.server.com:8443 时会携带这个 Cookie,服务器可以根据这个 TGC,查找与之对应的 TGT,从而判断用户是否认证过,是否需要展示登录页面。TGT 与 TGC 的关系就像 SESSION 与 Cookie 中 JSESSIONID 的关系

  4. 序号 957,浏览器向 https://localhost:9443/sample/ 发起请求,请求携带 CAS 服务器签发的 STlocalhost:9443 在过滤器中获取到 ticket 值,通过 HTTP 请求的方式调用 CAS 服务验证该 ticket 是否有效,过滤器全称 org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter ,验证方法在 org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator#validate, 如图。
    validate

此时,CAS 服务器的日志如下图。
CAS 认证--ST 验证
localhost:9443 收到 CAS 服务器返回,知道用户合法,即可正常响应请求,展示页面,如图。
CAS 认证--客户端响应

  1. 序号 958,ST 验证通过后再次重定向是在 Cas30ProxyReceivingTicketValidationFilter 过滤器中使用了 redirectAfterValidation 参数(默认为 true),将其配置成 false 即可在验证用户后返回正常页面,如图。
    CAS 认证--重定向
    CAS认证--访问客户端

再次认证流程

第一次访问 localhost:9443 的步骤已梳理完成,保持用户在 SSO 的会话,尝试访问 localhost:7443,观察其流程。请求重定向到 CAS 服务器时,携带了值为 TGC 的 Cookie。CAS 服务器通过此 TGC 查找到对应的 TGT,判断到用户已经登录,便不再展示登录页面,即少了 CAS 服务器登录这个步骤,剩余步骤和首次登录一致,如图。
再次认证流程

CAS单点登录的实现原理

  1. 用户访问需要身份验证的应用程序,并尚未进行身份验证。

  2. 应用程序重定向用户到CAS服务器进行登录验证。

  3. CAS服务器检查用户的登录凭据,如果验证通过,则创建一个票据(ticket)。

  4. CAS服务器将票据发送回应用程序,并将用户重定向回应用程序。

  5. 应用程序接收票据,并将其发送回CAS服务器以进行验证。

  6. 如果票据有效,则CAS服务器返回身份验证成功的响应。

  7. 应用程序将用户身份验证信息保存在会话中,以便以后的访问。

  8. 如果用户尝试访问其他应用程序,则该应用程序将使用相同的步骤验证用户身份。

因此,CAS单点登录系统的主要思想是将用户身份验证过程与应用程序分离开来,使得用户只需进行一次登录验证,就可以访问多个应用程序。CAS系统将所有的登录信息存储在一个中心化的认证中心中,使得其他应用程序可以通过该中心获取用户的身份验证信息,从而实现单点登录的功能。

Bruce_Eckel
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CAS实现单点登录SSO执行原理探究(终于明白了)
javaloveiphone的专栏
09-05 20万+
一、不落俗套的开始1、背景介绍单点登录:Single Sign On,简称SSO,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS框架:CAS(Central Authentication Service)是实现SSO单点登录的框架。2、盗一张学习CAS绝大多都看过的图以及执行部分分析注:已分不清原创,此处就不给出地址了。 从结构上看,CAS包含两个部分:C
简述太阳能发电系统各单元的原理
05-08
简述太阳能发电系统各单元的原理
CAS单点登录
一位打工仔的博客
06-01 6783
CAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。
cas深度解析:cas 客户端是如何验证serviceTicket(简称st
最新发布
2401_84024576的博客
04-09 738
AbstractUrlBasedTicketValidator,基于TicketValidator的验证;AbstractTicketValidationFilter,基于Filter的ticket的验证;当时这个项目是基于Filter集成的,在web.xml中配置了ticket验证的Filter。(img-fwNw2mKN-1712628652556)]本以为cas源码中提供的仅一种方式,于是乎想一探究竟,居然发现了多种。//从后端访问cas Server验证st的有效性。
前后端分离项目(springboot+vue)接入单点登录cas
u011322072的博客
10-27 3353
前后端分离单点登录cas解决方案
CAS单点登录(一)——初识SSO
Anumbrella
06-29 7万+
前言:其实好早就想把CAS的这一套知识整合一下,在工作上也应用到了这块,只是最近才在工作上接触到CAS,所以刚好把这些知识总结一下。这块可能是一个比较大的模块知识点,所以会有多篇文章进行逐一展开,笔者会尽量抽空更新,当然如果文章中存在错误,期望大家指出。 一、初识CAS 首先我们来说一下CASCAS全称为Central Authentication Service即中央认证服务,是一个企...
Cas记录登出日志问题排查
大脸猫的博客
10-18 1835
问题提出 先上一段登出接口的代码 @Override public void logout(String tgt) throws Exception { try { //设置tgt无效 customTicketRegistry.delTGT(tgt); LoginInfo result =...
简述DDS原理及其基于FPGA的实现
01-19
与传统的频率合成器相比,DDS具有低成本、低功耗、高分辨率和快速转换时间等优点,广泛使用在电信与电子仪器领域,是实现设备全数字化的一个关键技术。在各行各业的测试应用中,信号源扮演着极为重要的作用。但信号...
简述步进电机原理
01-20
步进电机广泛用于数控机床、自动送料机、软盘驱动器的马达、打印机、绘图仪等设备中。 ...更通俗一点讲:当步进驱动器接收到一个脉冲信号,它就驱动步进电机按设定的方向转动一个固定的角度。...
简述抖动测量的基本原理
01-20
近年来,抖动(Jitter)已经成为通信工程师非常重视的信号特征。在数字系统中,时钟频率正在变得越来越高。随着速率的升组,在上升沿或是下降沿哪性是微小的变化也变得越来越重要。因为时钟或数据的抖动会影响到数据...
CAS实现SSO单点登录原理
秋风扶柳笛的专栏
01-23 6612
1.      CAS简介 1.1.  What is CASCAS(Central Authentication Service) 是 Yale大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于Web SSO)。 CAS开始于2001年, 并在 2004年 12月正式成为JA-SIG的一个项目。 1.2.  主要特性 1、  开源的、多
CAS实现不同应用展示不同的登录页
06-24
基于CAS单点登录系统,可以通过这些步骤来实现不同系统展示不同的登录页,但是登录后的信息共享
CAS实现单点登录(SSO)经典完整教程
热门推荐
small_love的专栏
08-06 16万+
一、简介 1、cas是有耶鲁大学研发的单点登录服务器 2、本教材所用环境 Tomcat7.2JDK6CAS Service 版本 cas-server-3.4.8-rele
基于SpringbootShiro实现的CAS单点登录
神尐破
09-16 2517
单点登录(Single Sign On,SSO)是一种登录管理机制,主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。常见的例子就是,当我们在淘宝网上登录了之后,如果再访问天猫网的话是不需要再次登录的。
CAS单点登录原理解析及相关配置
顺其自然~专栏
04-07 3911
基于Cookie的单点登录核心原理:将用户名密码加密之后存于Cookie中,之后访问网站时在中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。该方式缺点就是多次传送用户名密码,增加被盗风险,以及。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码,如果涉及到修改操作,则需要修改两处。
SSO单点登录使用CAS框架实现过程逻辑
weixin_44315786的博客
04-09 631
SSO单点登录 cas
SSO单点登录原理详解
Yilong18的博客
12-06 3004
sso单点登录
CAS单点登录原理及改造
u012477420的博客
03-16 1394
假设此时另一个业务系统bussiness.test.com也进入了CAS,在浏览器首次打开bussiness.test.com时,由于当前域名下没有存储token,则也会跳转到CAS中,url为cas.test.com/login?3) CAS校验用户名密码,校验成功,则根据用户信息生成TGT、TGC,并将TGC写入到浏览 器的cookie中,同时根据TGT生成ST,再重定向到mail.test.com?1) TGT: 票据,或称大令牌,在登录成功之后生成,其中包含了用户信息。
单点登录(SSO)原理及实现
哈哈哈哈哈哈哈
05-05 1万+
一、前言 本篇文章简单介绍了一下SSO的概念及原理,然后使用SpringBoot+Redis实现了一个简单的SSO系统。系统使用ticket的形式,依靠cookie携带ticket向sso服务器进行验证,验证通过后允许访问请求地址。 项目地址: 二、SSO介绍 SSO(Single Sign On),单点登录,简单来说就是在一个具有多个子系统的系统中,只用登录一个子系统,然后访问其他子系统时不需...
简述标准单点定位基本原理
05-23
标准单点定位(Standard Positioning Service,SPS)是GPS系统提供的一种基础定位服务,其基本原理如下: 1. GPS系统由一组卫星和地面控制站组成,卫星发射精确的时间信号和位置信息。 2. GPS接收机接收卫星发射的信号,并测量信号到达接收机的时间差,称为伪距。 3. 接收机需要至少接收4颗卫星信号才能进行三维定位,因为三维定位需要测量三个未知参数:接收机的位置和时间偏差。 4. 接收机通过解算伪距和卫星位置信息,可以计算出接收机的位置、速度和时间信息。 5. 为了提高定位精度,接收机还需要考虑大气延迟、多径效应等误差因素,并采用差分GPS、RTK等技术进行精度优化。 总之,GPS定位的基本原理是通过接收卫星发射的信号,测量信号到达时间差,解算出接收机的位置、速度和时间信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce_Eckel

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值