CAS 中央认证服务 实现 单点登录(SSO)

最新推荐文章于 2021-11-09 16:49:50 发布
最新推荐文章于 2021-11-09 16:49:50 发布
阅读量642 收藏
点赞数
分类专栏: 科普 权限相关
原文链接:https://www.jianshu.com/p/88eb18de636d
版权

CAS 中央认证服务 实现 单点登录(SSO)

介绍

  • 单点登录 SSO(Single Sign On) :
    • 简介:多个系统中只需要登录一次,就可以用已登录的身份访问所有相互信任的多个系统。
    • 优点:
      • 解决子系统登录问题,直接在父系统统一进行登录。
      • 企业级业务系统通用账号,只需登录一次。
  • 中央认证服务 CAS(Central Authentication Service):
    • 简介:实现SSO的开源项目,最初由耶鲁大学创建。

CAS 架构

CAS Client:

  • 负责处理对客户端受保护资源的访问请求,需要登录时重定向到CAS Server进行认证,与受保护的客户端应用部署在一起,以Filter方式保护受保护的资源。

  • CAS Server:

    • 独立部署,主要负责对用户的认证工作。
    • 组成:web端,票据系统,认证系统。

  • 核心票据:

    • TGT(Ticket Grangting Ticket):TGT是CAS为用户签发的登录票据,有TGT就表明用户在CAS上成功登录过。用户在CAS认证成功后,会生成一个TGT对象,放入自己的缓存中(Session),同时生成TGC以cookie的形式写入浏览器。当再次访问CAS时,会先看cookie中是否存在TGC,如果存在则通过TGC获取TGT,如果获取到了TGT则代表用户之前登录过,通过TGT及访问来源生成针对来源的ST,用户就不用再次登录,以此来实现单点登录。

    • TGC(Ticket-granting cookie):TGC就是TGT的唯一标识,以cookie的形式存在在CAS Server三级域名下,是CAS Server 用来明确用户身份的凭证。

    • ST(Service Ticket):ST是CAS为用户签发的访问某一客户端的服务票据。用户访问service时,service发现用户没有ST,就会重定向到 CAS Server 去获取ST。CAS Server 接收到请求后,会先看cookie中是否存在TGC,如果存在则通过TGC获取TGT,如果获取到了TGT则代表用户之前登录过,通过TGT及访问来源生成针对来源的ST。用户凭借ST去访问service,service拿ST 去CAS Server 上进行验证,验证通过service 生成 用户session,并返回资源。

时序图

第一次请求客户端

    • 浏览器向客户端CAS Client 发送访问请求
    • CAS Client 接受请求,Filter会拦截请求,进行以下检测。如果都没有CAS Client 将请求重定向到CAS Server,并传递Service信息。(第一次请求没有session及ST信息)
      • 查看session中是否存在用户信息
      • 查看请求信息中是否存在ST
    • CAS Server 接受到请求,进行以下检测。如果没有TGC 跳转到登录页面(http://sso.com/login?service=http%3A%2F%2Fapp.example.com)。有TGC会继续进行以下检查。(第一次请求没有TGC信息)
      • 查看cookie中是否存在TGC
      • 通过TGC 查找对应的TGT
      • 通过TGT与Service来源信息生成ST
    • 用户在浏览器上输入账号信息,提交表单进行登录。
    • CAS Server 接收到登录请求,进行登录信息验证,验证成功后进行以下操作。
      • 根据用户信息生成登录票据TGT
      • 随机生成一个CAS会话标识 TGC,将 TGC 写入cookie
      • 根据Service信息随机生成一个服务票据ST
      • 将 ST 作为参数,重定向到Service http://app.example.com?ticket=ST
    • 携带ticket再次请求CAS Client ,这时Filter接收到 ticket 就会跳过验证,直接将ticket发送给CAS Server 进行ST有效性验证(无论ticket是否验证成功都将删除该ticket),如果有效就会把用户信息写到Service的session中三级域名下。
    • SSO会话建立成功。

  • 第二次请求客户端

    • 浏览器向客户端CAS Client 发送访问请求
    • CAS Client 接受请求,Filter会拦截请求,进行以下检测。如果有session信息代表登录过,直接返回请求资。(第二次请求有session信息)
      • 查看session中是否存在用户信息

  • 访问客户端系统B

    • 浏览器向客户端CAS Client 发送访问请求

    • CAS Client 接受请求,Filter会拦截请求,进行以下检测。如果都没有CAS Client 将请求重定向到CAS Server,并传递Service信息。(第一次请求没有session及ST信息)

      • 查看session中是否存在用户信息
      • 查看请求信息中是否存在ST

    • CAS Server 接受到请求,进行以下检测。由于之前访问客户端系统A生成了TGC信息,不会跳转到登录页面,直接将 ST 作为参数,重定向到Service http://app.example.com?ticket=ST

      • 查看cookie中是否存在TGC
      • 通过TGC 查找对应的TGT
      • 通过TGT与Service来源信息生成ST

    • 携带ticket再次请求CAS Client ,这时Filter接收到 ticket 就会跳过验证,直接将ticket发送给CAS Server 进行ST有效性验证,如果有效就会把用户信息写到Service的session中。

    • SSO会话建立成功。

单点登出

  • 客户端A登出,请求 CAS Client 清除用户SESSION信息,并请求CAS Server 清除TGC及TGT信息,并重定向到登录页面。
  • 由于客户端B之前登录过,存在SESSION信息,正常访问并返回资源。
  • 再次访问客户端A或者客户端C等,CAS Server 都会返回登录页面,进行登录。

参考资料:

CAS—认证原理

单点登录系统(SSO)之CAS(中央认证服务)

CAS中央认证系统

 

哥就是巴黎的欧兰雅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS(Central Authentication Service、中央认证服务
04-12
NULL 博文链接:https://desert3.iteye.com/blog/1699893
搭建Jasig CAS中央认证服务实现单点登录——搭建Tomcat并实现SSL安全连接
weixin_34410662的博客
03-30 142
预期的工作任务: 实现CASCAS采用Jasig CAS单点登录搭建,开发api以实现java、php、.net等单点登录接口;实现数据库、LDAP身份认证对接。 (一)平台(Linux和Windows都能实现): 1.Windows Server 2008 R2(Windows 2000以上即可),用于承载Tomcat和其他开发环境,如数据库等(设置为服务器的IP是172.16.201....
中央认证服务cas)与单点登录sso)系统
xiaofang2015的博客
04-29 3630
https://www.cnblogs.com/qingmuchuanqi48/p/10784667.html  如果我们的系统存在于诸多的子系统中,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决. 通过这张图就可以简单的对单点登录有一定的了解: 1.用户第一次访问应用系统的时候,因为还没有登录,就会被引导到...
CAS中央认证服务
Borny鼎鼎的博客
04-02 463
用户在第3步中输入认证信息,如果登录成功,CAS Server随机产生一个唯一的Service Ticket,并缓存以待将来验证,之后系统自动重定向到Service所在地址,并为客户端浏览器设置一个Ticket Granted Cookie(TGC),CAS Client在拿到Service和新产生的Ticket过后,在第5、6步中与CAS Server进行身份核实,以确保Service Ticket的合法性。TGT,是CAS为用户签发的登录票据,存储在CAS Server中,类似于session。
cas中央认证服务器的简单使用
小刘的博客
12-17 1113
企业级单点登录解决方案 :本文记录的是cas5.3的使用 技术文档:https://apereo.github.io/cas/5.1.x/ 1.https://github.com/apereo/cas-overlay-template/tree/5.3 下载cas服务器 2.idea导入maven项目,该项目是springboot的,已经打包成war,或者根据readme提示进行...
PHP 使用TP5.0 实现SSO单点登录
07-28
因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
单点登录sso-shiro-cas-maven
10-19
spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的...
golang实现单点登录系统(go-sso
01-19
这是一个基于Go语言开发的单点登录系统,实现手机号注册、手机号+验证码登录、手机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口...
使用springboot结合vue实现sso单点登录
08-25
主要为大家详细介绍了如何使用springboot+vue实现sso单点登录,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
服务登录验证(单点登录SSO)的过程和Java实现.docx
最新发布
09-04
技术分享:跨服务登录验证(单点登录SSO)的过程和Java实现
python模拟登录网站_通过抓包,实现Python模拟登陆各网站,原理分析!
weixin_39723655的博客
11-24 1028
1.1 基本介绍通过分析登陆流程并使用 Python 实现模拟登陆到一个实验提供的网站,在实验过程中将学习并实践 Python 的网络编程,Python 实现模拟登陆的方法,使用 Firefox 抓包分析插件分析网络数据包等知识。模拟登录可以帮助用户自动化完成很多操作,在不同场合下有不同的用处,无论是自动化一些日常的繁琐操作还是用于爬虫都是一项很实用的技能。本课程通过 Firefox 和 Pyth...
CAS单点登录2--证书生成
bitree1的博客
02-13 3027
生成证书    证书对于实现单点登录非常之重要,证书是服务器端和客户端安全通信的凭证,本教程只是演示,所有用了 JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。 中文官方网站:http://www.verisign.com/cn/ 1、用JDK自带的keytool生成证书 命令:keytool -genkey -alias smalllo...
前后端分离项目使用CAS单点登录认证
kuun993的博客
09-22 3142
简介 CAS是为web服务提供单点登录认证的方式,其认证过程如下图所示。目前CAS仅支持不分离的项目接入,详见CAS Client。由于前后端分离的项目自己需要维护会话,故不能通过官方提供的配置实现,本文将聊聊具体如何实现前后端分离项目使用CAS单点登录认证CAS的简单了解 票据 TGC Ticket Granting Cookie,TGC与TGT相当于sessionId与session。TGC作为TGT的key,储存于浏览器的cookie中(CAS服务端域名下)。 TGT Ticket Granti
CAS中央认证服务中心)
Mark的博客
06-18 304
转发 https://www.cnblogs.com/jpeanut/p/9248467.html
CAS客户端证书认证登录
middlesea18
10-31 376
前端时间需要实现公司内网证书自动登录CAS. 由于对CAS的底层还不是特别了解所以学习了下,看了下源码.   这里我由上而下的讲解实现的过程.   1.Web Flow 我们都知道CAS目前使用了Spring Web Flow, 在CAS中Spring Web Flow的配置文件为login-webflow.xml 里面主要配置了登录的流程.这个如果用图来表示的话那应该是一个状态图...
生成CAS证书实现单点登录
青衫
10-12 537
windows生成cas证书需要在jdk的bin目录打开cmd命令,keytool 是java用于管理密钥和证书的工具,它使用户能够管理自己的公钥/私钥对及相关证书   然后输入相关命令即可 参数说明: -genkey 生成密钥 -keyalg 指定密钥算法,这时指定RSA, -keysize 指定密钥长度,默认是1024位,这里指定2048,长一点,比较难破解, -validity...
cas 单点登录服务搭建+示例demo
qq_14926283的博客
04-12 991
都知道分布式是由一个个小模块组装到一起的一种架构,搭建在多台服务器上, 那么问题来了-------》既然是很多个小模块组装的,那我们登录的seesion怎么办?我在服务器1上登录了,其它服务器怎么知道?那么我从功能1--进入功能2,我就不是我了?功能2后续操作是不是就丢了? 解决办法自然也就来了 CAS是Central Authentication Service的缩写,中央认证服务,...
CAS登录认证
Admans的专栏
07-15 2503
CAS最基本的协议过程: 名词解释 Ticket Grangting Ticket(TGT) : TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。当HTTP再次请求到来时,如果传过来的有CAS生成的cookie,则CAS以此cookie值为key
cas单点登录实现SSO架构)
fanzhe的博客
11-09 4362
portal门户模块 security安全模块 doc doc数据库表、SQL文件、war包等等 cas单点登录实现SSO架构) cas(具体)是实现sso(抽象)的一种手段 SSO 是英文 Single Sign On 的缩写,翻译过来就是单点登录。顾名思义,它把两个及以上个产品中的用户登录逻辑抽离出来,达到只输入一次用户名密码,就能同时登录多个产品的效果。 单点登录SSO)思路(多个产品都是在一个域名下) 用户访问产品 a,向 后台服务器发送登录请求。 登录认证成功,服务器把用户的登录信息写
rest sso 和_SSO企业单点登录系统——CAS REST认证方式
05-19
REST SSOCAS REST认证方式都是企业单点登录系统中的认证方式。...总的来说,REST SSOCAS REST认证方式都是基于RESTful API的企业单点登录系统,实现方式类似,但是具体实现细节和使用场景还是有所区别的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值