关于CAS的TGT和Service Ticket的过期策略

最新推荐文章于 2024-04-09 10:11:08 发布
最新推荐文章于 2024-04-09 10:11:08 发布
阅读量1.1w 收藏 6
点赞数 3
分类专栏: cas单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yushenzaishi/article/details/80435343
版权

首先说明一下什么是cas:

cas是一套单点登录的框架,利用它可是实现登录一个账号就能访问多个相关系统的功能。它分为客户端Client和服务端Server,只要将开发单点登录的系统集成cas的客户端,然后部署好服务端,就可以实现多系统的单点登录。

下面说一下cas的认证流程:

1)用户访问cas-client,被拦截跳转到cas-server进行登录,输入正确的用户信息

2)登录成功后,cas-server签发一个TGC票据,写入浏览器同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值,并再次跳转到cas-client,同时携带着ST票据

cas-client发现有ST票据则拿着ST票据去cas-server验证,如果验证通过,则返回用户名信息

3)cas-client登录成功,用户访问另一个cas-client2时,也会被拦截再次跳转到cas-server发现TGC票据生成的TGT对象的ID值存在则直接验证通过,签发一个ST票据给cas-client2。


也就是说一旦TGT过期,所有的系统就都不能访问了,ST是针对每一个系统的。两者都是有默认的过期策略,都可以根据自己的需求设置自己的需要的过期策略。

# Default Expiration Policy
# tgt.maxTimeToLiveInSeconds=28800

# tgt.timeToKillInSeconds=7200

上面是cas.properties中的默认过期策略, tgt.maxTimeToLiveInSeconds指的是TGT的最大生存时间,28800秒,也就是八小时; tgt.timeToKillInSeconds是指在用户没有对系统进行任何操作的情况下,7200秒之后,也就是两个小时之后TGT会过期。过期之后需要重新登录操作。

# Service Ticket Timeout
#st.timeToKillInSeconds=10
# st.numberOfUses=1

上面是ST的默认过期策略,st.timeToKillInSeconds=10说明当你访问一个应用系统时,cas server签发了一张票据,你需要在十秒钟之内拿着这种ST去server进行校验,过了10秒钟就过期了,系统也就访问不了;st.numberOfUses=1指的是ST可以用几次才过期,默认是用过一次就过期。

在cas.properties中,还有一个过期策略

# Inactivity Timeout Policy

#tgt.timeout.maxTimeToLiveInSeconds=28800

默认的时间是八小时,本人不是很懂,还没有研究出它的作用,希望各位大佬多多指教。










yushenzaishi
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
cas单点登录服务器端和客户端的demo
05-19
- **Ticket Granting TicketTGT策略**:定义TGT的生存时间和过期策略。 **2. CAS客户端配置** 客户端是接入CAS的各个应用系统,它们依赖CAS服务器进行用户认证。客户端配置主要包括以下步骤: - **依赖添加**...
java项目中cas和authcenter的集成
06-26
`CasClientUtil.java`是这个集成中的关键组件,它负责处理与CAS服务器的交互,包括用户的登录验证、服务票证(Ticket Granting Ticket, TGT)的获取和校验等。下面我们将深入探讨这个过程以及涉及的相关知识点: 1. *...
SSO-CAS单点登录(二)
一名菜鸟攻城师
01-06 417
Ticket 有效期Proxy代理认证合理设置TGC超时时间, 默认是2个小时ST service ticketPT proxy ticketTGC(Ticket Granting Cookie)存储在客户端浏览器中,是在CAS服务器上获取对应ST(Service Ticket)的凭据=======================================================...
单点登录 cas4.1 怎样设置当前session有效时间
ayt007的博客
08-22 1170
单点登录(Single Sign-On,SSO)的一个流行实现是 CAS (Central Authentication Service)。您可能还需要根据您的具体环境和需求进行其他配置。票据是主要的认证票据,具有一个长的有效期(默认是8小时),并且是CAS用来给用户发放服务票据的票据。服务票据是一个较短的有效期(默认是10分钟),并且是CAS用来允许应用程序访问的票据。除了票据有效期外,您可能还想调整Web应用的 session 超时时间。在对配置文件进行更改后,确保重启CAS服务器以使更改生效。
CAS ticket过期策略
weixin_30455067的博客
10-14 341
CAS提供可扩展的ticket过期策略,支持ticket-granting tickets (TGT)和service tickets (ST)的配置。 CAS客户端存储用户信息一般使用session,因此客户端用户登录过期时间应该还取决于客户端session的过期时间。 一、TGT过期策略 1、TimeoutExpirationPolicy CAS默认使用该策略作为TGT过期策略,该...
CAS认证原理、TGT/ST、流程介绍
u010321349的博客
12-25 3419
转载博文 https://blog.csdn.net/wang379275614/article/details/46337529 CAS 4.1.10 版本服务端源码解读:https://www.meiwen.com.cn/subject/azlctqtx.html  CAS,Central Authentication Service—中央认证服务,是Yale 大学发起的一个企业级的、开...
CAS前后端分离思路,gateway绑定casTGT
weixin_43857522的博客
11-16 2970
思路讲解: 1. cas 可以将 TGT 存储到redis或者mysql. 这个TGT 是带有时间的 2. cas 开启监控页面后可以获取 st 和 TGT 的绑定信息 3. 用户登陆时,会携带 st 到 gateway 通过以上三点, 可以绑定一个自定义的token 给前端, 然后绑定到cas 存储到redis 的TGT,并将失效时间设置一致,这样每次 用户登陆都去查询是否为同一个TGT 颁发,来给前端不同的token,来实现单点登陆 1. 将casTGT 存储到redis 引入jar <d
CAS Ticket票据:TGT、ST、PGT、PT、PGTIOU
jiangbb8686的博客
06-23 1762
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。 1、术语解释 ·TGTTicket Grangting TicketTGTCAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cooki
CAS票据之ST与TGT过期策略详细说明
Java精选
11-16 2万+
CAS的核心就是Ticket中文称之为票据,以及在Ticket之上的一系列逻辑处理操作。CAS的主要包含票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中新增的的票据,目前CAS最新版本已经到了CAS4.0。cas分为服务端和客户端两部分组成,下简单说一说CAS认证过程: 1)用户访问cas-client
cas4.2源码
09-11
CAS服务器处理用户的登录请求,创建Ticket Granting TicketTGT),然后在后续请求中通过Service Ticket进行验证。 2. **模块组成**: - **核心服务**:包括Ticket-granting Ticket的生成、Service Ticket的管理...
cas 服务端源码
12-13
同时,源码中还包括了丰富的配置选项,这些配置可以用于定制CAS的行为,比如改变默认的认证机制,调整票据过期策略等。 通过对CAS服务端源码的分析,开发者不仅可以掌握SSO的基本原理,还能了解到安全架构设计、...
cas-server.zip
09-10
CAS作为SSO的核心,通过Ticket Granting TicketTGT)和Service Ticket(ST)来实现这一功能。当用户首次访问受保护的资源时,会被重定向到CAS服务器进行身份验证,成功后返回TGT,之后访问其他应用只需持有TGT,...
CAS6.6源码解析】深入解析TGT和ST的唯一ID是怎样生成的-探究ID生成器的设计
热门推荐
ATFWUS的博客
07-31 8万+
CAS作为一款企业级中央认证服务系统,其票据的生成是非常重要的一环,在票据的生成中,有一个比较重要的点就是为票据生成唯一ID,本文将深入解析CAS系统中的TGT和ST的唯一ID是怎样生成的。
CAS总结之Ticket篇(转,非常详细,后文还提到一个ppt,非常易懂)
燃烧JAVA
07-18 1万+
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。   一 名词解释 TGTTicket Grangting TicketTGTCAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在
单点登录cas常见问题(十四) - ST和TGT过期策略是什么?
daobuxinzi的博客
01-05 872
ST和TGT过期策略可以参看配置文件:ticketExpirationPolicies.xml 1、先说ST:ST的过期包括使用次数和时间,默认使用一次就过期,或者即使没有使用,一段时间后也要过期cas配置为OAuth服务器时,oauth中的授权码code也是用一次就过期,它和单点登录中的ST实际上是一个东西; st默认过期时间是10秒,这个st在oauth中作为授权码code使用,过期时间也是10秒(过期时间默认10秒,可以在cas.properties中修改# st.timeToKillIn...
cas深度解析:cas 客户端是如何验证serviceTicket(简称st
2401_84024576的博客
04-09 846
AbstractUrlBasedTicketValidator,基于TicketValidator的验证;AbstractTicketValidationFilter,基于Filter的ticket的验证;当时这个项目是基于Filter集成的,在web.xml中配置了ticket验证的Filter。(img-fwNw2mKN-1712628652556)]本以为cas源码中提供的仅一种方式,于是乎想一探究竟,居然发现了多种。//从后端访问cas Server验证st的有效性。
Shior Cas 实现单点登录(SSO)
wang7631579的博客
08-17 129
Shior Cas 实现单点登录(SSO)前言Cas概念项目环境构筑条件Cas Server 构建 前言 本项目集成参照了很多大佬的博客和代码,在此感谢各位大佬的奉献。 Cas概念 参照: 了解Cas整体概念 希望在做Cas 集成的 各位大佬 读一下 这个文章,以便以后跟其他人也好说 这些我都懂。 项目环境构筑条件 1.Tomcat 2.Jdk1.8 3.Idea Cas Server 构建 本人项目采用的是耶鲁Cas 5.3 版本,在2016年以前我用的是3.7 版本 。5.3版本和3.7版本 差距还是
CAS单点登录9 - 服务端RememberMe
bitree1的博客
02-15 2035
CAS一些配置项 下面是CAS-4.0.3服务端的来自cas.properties中的一些配置项介绍 1、cas.securityContext.status.allowedSubnet=127.0.0.1   可以访问的服务端统计页面:http://sso.jadyer.com:8080/cas-server-web/status   可以访问的服务端统计页面:http://sso.ja...
Crypto_30_vHsm_Types.h
最新发布
07-09
Crypto_30_vHsm_Types
Failed to restart tgt.service: Unit tgt.service not found.
08-22
The error message "Failed to restart tgt.service: Unit tgt.service not found" suggests that the tgt.service unit file is missing on your system. The tgt.service is related to the Target framework ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值