CAS单点登录原理解析

最新推荐文章于 2023-06-04 16:23:51 发布
最新推荐文章于 2023-06-04 16:23:51 发布
阅读量98 收藏
点赞数
文章标签: 后端 前端 web.xml ViewUI
原文链接:http://www.cnblogs.com/ArtofDesign/p/10566329.html
版权

CAS单点登录原理解析

    SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS是一种基于http协议的B/S应用系统单点登录实现方案,认识CAS之前首先要熟悉http协议、Session与Cookie等Web开发基本知识。

1.http协议

    HTTP是一个客户端和服务器端请求和应答的标准,我们全后端开发对接的Rest接口就是基于http协议。http协议包含http请求消息(HttpRequest)和http应答消息(HttpResponse)两部分。参考内容:https://www.cnblogs.com/rayray/p/3729533.html

  • 理解http协议是无状态协议的含义
  • 熟记常见的http协议状态码,其中302等与cas相关
  • 熟记常见的http请求头,其中Cookie等与cas相关
  • 熟记常见的http应答头,其中Set-Cookie、Location等与cas相关

2.Session与Cookie会话机制

    http协议本身是无状态的,但有时候我们需要http请求保持状态,我们引入Session与Cookie。
Session用在服务端,用于存储当前所有客户端需要保持的状态值,并为每一个客户端生成一个唯一编码,然后通过http响应头Set-Cookie将这个编码发送给客户端。

    Cookie用在客户端,用于记录后端发来过的唯一编码,该编码与服务端上的对应的状态值对应,在下一次请求的时候通过http请求头Cookie带上这个编码,服务端就能根据这个编码获取该客户端之前记录的所有状态值。

 

3.普通登录

    登录成功后,在Session中写入登录用户的信息,退出时清空Session中的用户信息。可以通过filter实现。

4.CAS单点登录| 两次前端跳转、一次后端验证

4.1首次访问(访问第一个应用系统App1)

    CAS首次登录会经过两次前端跳转、一次后端验证。在应用系统端需要集成CasClient的jar包,把其中的filter配置到站点web.xml中,用于拦截请求、判断登录、发起跳转或发起验证等。在SSO服务器上部署CasServer的war包,需要配置用户数据源,根据需求修改登录页面。

   第一次前端跳转:客户端访问应用系统,应用系统判断Session发现未登录,返回302跳转到sso登录页面,并传递service参数给sso,该service参数有两个作用:

  1. service一般传递应用系统url地址,用于sso认证通过后回跳到应用系统;
  2. service参数同时会被cas服务端的作为cas客户端的唯一标记记录下来,用于后期匹配相应的认证凭据;

   第二次前端跳转:浏览器显示登录页面,用户输入账号密码登录成功后,sso会返回302跳转回到原来请求的应用系统页面,并携带ticket参数,作为认证票据,同时通过Set-Cookie向浏览器记录TGT,(TGT的作用将在下一个应用系统需要登录的时候体现出作用,是避免重复登录的关键)

    一次后台验证:应用系统接收到带有ticket的请求后,从后台直接向sso服务器发起一个http请求,将service和ticket作为参数,用于验证ticket的有效性;如果ticket有效,sso服务器将返回该ticket对应的登录用户名。

4.2再次访问(访问第二个应用系统app2)

    当用户已经登录过一个应用系统以后,在同一个浏览器上访问第二个应用系统,根据单点登录的要求此时不应该再登录,而是直接进入第二个系统。但是实际上还是需要经过两次前端跳转、一次后端验证,只不过此时的两次跳转是连续的,中间不会再出现登陆页面,用户感受不到。判断的依据就是前面第4步通过Set-Cookie保存到客户端的TGT(Ticket Granted Cookie )。

    相比首次访问,少了之前的第3步(不需要再出现登录页面),因为此时在第二步跳转时,携带了之前保存的TGT,cas服务端通过TGT可以得知用户信息,因此直接生成ticket返回给应用系统。所以此时是两次连续的302跳转,用户看到的效果就是直接进入第二个应用系统了。

5. 案例讲解

5.1 循环跳转异常案例

    异常现象说明:某项目前后端分开部署出现这样一个现象,前端映射域名为http://xxx.gov.cn/zpsgl,后端映射域名为http://xxx.gov.cn/zpsgl/rest,单独访问后端登录没有任何问题,但是访问前端登陆后界面出现反复跳转不停刷新的问题。

    异常排查:循环跳转原理,SSO登录后返回应用系统,应用系统后台认证获取用户信息存入Session,由于某种原因造成Session信息丢失,导致应用系统认为还未登录,于是又跳转SSO,此时SSO已经登录不会再出登陆页面,直接生成ticket返回应用系统,应用系统Session再次丢失,进入反复跳转认证的死循环,前端界面表现为不停的刷新。

    因此关键问题在于分析Session信息丢失的原因,一般来讲有两种可能:1是系统本身逻辑问题把之前写入Session的登录信息清空了,2是两个站点的cookie作用域相同而相互覆盖,从而导致后台Session被重置。

    分析发现该项目属于第二种情况,前后端cookie都在http://xxx.gov.cn/域下面,解决办法修改cookie作用域或者修改cookie中Jsessionid的命名,防止相互覆盖。

转载于:https://www.cnblogs.com/ArtofDesign/p/10566329.html

weixin_30312659
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAS单点登录
11-25
CAS单点登录原理及技术展示Cas单点登录技术的解析
CAS单点登录原理
weixin_43911286的博客
03-03 692
转载地址:转载博客 1、基于Cookie的单点登录的回顾 基于Cookie的单点登录核心原理: 将用户名密码加密之后存于Cookie中,之后访问网站时在过滤器(filter)中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。 该方式缺点就是多次传送用户名密码,增加被盗风险,以及不能跨域。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码,如果涉及到修改操作,则需要修改两处。 2、统一认证中心方案原理 在生活中我们
单点登录CAS实现
weixin_46894136的博客
06-04 6167
当用户尝试访问其他应用程序或系统时,这些应用程序或系统会向身份提供者发送身份验证请求,并使用之前获得的授权令牌进行授权。单点登录(Single Sign-On,简称SSO)是一种身份验证技术,它允许用户使用一组凭据(如用户名和密码)登录到多个应用程序或系统中,而无需在每个应用程序或系统中单独登录。当用户尝试访问其他应用程序或系统时,这些应用程序或系统会检查Cookie中的身份验证信息,并使用该信息进行身份验证和授权。使用单点登录技术,员工可以在这些应用程序之间无缝地切换,而无需在每个应用程序中单独登录。
CAS单点登录原理(包含详细流程,讲得很透彻,耐心看下去一定能看明白!)
Aplumage的专栏
09-17 1914
1、基于Cookie的单点登录的回顾 基于Cookie的单点登录核心原理: 将用户名密码加密之后存于Cookie中,之后访问网站时在过滤器(filter)中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。 该方式缺点就是多次传送用户名密码,增加被盗风险,以及不能跨域。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码,如果涉及到修改操作,则需要修改两处。 2、统一...
CAS 实现单点登录(SSO)原理
sinat_36713319的博客
11-23 1214
原地址:https://blog.csdn.net/hejingyuan6/article/details/44277023 一、概念:     单点登录(Single Sign On):简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。     CAS(Central Authentication Ser...
cas单点登录原理与实现(整合springsecurity)
qq_46624276的博客
06-25 7760
一、cas原理分析1.1 Cas登录: 两次前端跳转、一次后端验证1.1.1 首次访问应用A第一次跳转:第二次跳转:后台进行一次票据验证:图例: 1.1.2 访问A登陆后首次访问应用B二、实现cas客户端yaml配置: 2.1 参数配置类: 应用服务器参数配置类 2.2 CAS配置...
落雨博客基于CAS框架的单点登录技术讲解(ppt+code实例+doc)配套资料
04-26
3 CAS单点登录简介(针对实践选择的技术) 5 3.1 技术快速使用说明 5 3.1.1 设置服务器域名 5 3.1.2 生成证书(这里采用JDK自带的工具keytool) 5 3.1.3 为客户端JVM导入证书 6 3.1.4 将证书应用到Web服务器Tomcat 7...
shiro+cas单点登录技术分析
05-30
分析shiro框架+cas单点登录系统的技术分析,解析了相关的技术难点
cas_client_test_demo
04-16
cas单点登录测试用的demo,配合cas-server使用,cas服务端可在http://download.csdn.net/detail/zrk1000/9492950下载
java核心知识点整理.pdf
04-19
1. 目录 1. 2. 目录 .........................................................................................................................................................1 JVM .........................
简述CAS单点登录的实现原理
小白的博客
04-28 1004
CAS单点登录的实现原理
cas单点登录认证原理
Lordinloft的专栏
03-03 798
讲述CAS认证原理
单点登录CAS原理和实现
热门推荐
金玉良缘
11-14 10万+
1.开源单点登录系统CAS入门1.1 什么是单点登录单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。1.2 什
CAS单点登录原理分析(一)
小机灵鬼
11-13 4万+
一,业务分析 在分布式系统架构中,假设把上述的三个子系统部署在三个不同的服务器上。前提是用户登录之后才能访问这些子系统。那么使用传统方式,可能会存在这样的问题: 1.当访问用户中心,需要用户登录帐号 2.当访问购物车,还需要用户登录帐号 3.当访问商品结算,又一次需要用户登录帐号 访问每一个子系统都需要用户登录帐号,这样的体验对于用户来说是极差。而使用单点登录就可以很好地解决上述的问题。 二,单...
CAS单点登录原理解析(转载)
weixin_30493321的博客
03-03 3934
1、基于Cookie的单点登录的回顾 基于Cookie的单点登录核心原理: 将用户名密码加密之后存于Cookie中,之后访问网站时在过滤器(filter)中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。 该方式缺点就是多次传送用户名密码,增加被盗风险,以及不能跨域。同时www.qiandu...
CAS单点登录原理分析
Carson073的博客
09-19 618
1、基本框架图和相关概念 基本框架图: 相关术语概念: 1、结构体系 CAS Server:CAS Server 负责完成对用户的认证工作 , 需要独立部署 , CAS Server 会处理用户名 / 密码等凭证(Credentials)。 CAS Client:负责处理对客户端受保护资源的访问请求,需要对请求方进行身份认证时,重定向到 CAS Server 进行认...
java 集成cas单点登录
最新发布
11-30
Java集成CAS单点登录是一种常见的认证和授权机制,它允许用户一次登录即可访问多个相互信任的应用系统,提供了统一的身份认证和会话管理功能。要实现Java集成CAS单点登录,首先需要部署CAS服务器并配置好相关的认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值