CAS中央认证服务

1、CAS
CAS，中央认证服务，一种独立开放指令协议，为Web应用系统提供一种可靠的单点登录方法。
SSO，单点登录，当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限。
2、原理和协议
对于访问受保护的资源的每一个Web请求，CAS Client会分析该Http请求中是否包含Service Ticket，如果没有，则说明当前用户尚未登录，于是将请求重定向到CAS Server登录地址，并传递Service（也就是要访问的目的资源地址），以便登录成功过后转回该地址。用户在第3步中输入认证信息，如果登录成功，CAS Server随机产生一个唯一的Service Ticket，并缓存以待将来验证，之后系统自动重定向到Service所在地址，并为客户端浏览器设置一个Ticket Granted Cookie（TGC），CAS Client在拿到Service和新产生的Ticket过后，在第5、6步中与CAS Server进行身份核实，以确保Service Ticket的合法性。
CAS Server，负责对用户的认证工作。CAS Client，负责处理对客户端受保护资源的访问请求，需要登录时，重定向到CAS Server。TGT，是CAS为用户签发的登录票据，存储在CAS Server中，类似于session。TGC，是TGT的唯一标识，存储在Web Browser中，类似于jsessionid。ST，是CAS为用户签发的服务票据
用户在CAS Server认证成功后，CAS Server会生成TGT和TGC，TGT存储在CAS Server，TGC存储在Web Browser中。当用户再次访问CAS Server时，首先查询cookie中是否存在TGC，如果存在则通过TGC获取TGT，获取到了TGT则代表用户之前认证成功过，通过TGT及访问来源生成针对来源的ST，实现单点登录。
协议过程图如下