CAS 中央认证服务 实现 单点登录(SSO)
介绍
- 单点登录 SSO(Single Sign On) :
- 简介:多个系统中只需要登录一次,就可以用已登录的身份访问所有相互信任的多个系统。
- 优点:
- 解决子系统登录问题,直接在父系统统一进行登录。
- 企业级业务系统通用账号,只需登录一次。
- 中央认证服务 CAS(Central Authentication Service):
- 简介:实现SSO的开源项目,最初由耶鲁大学创建。
CAS 架构
CAS Client:
负责处理对客户端受保护资源的访问请求,需要登录时重定向到CAS Server进行认证,与受保护的客户端应用部署在一起,以Filter方式保护受保护的资源。
-
CAS Server:
- 独立部署,主要负责对用户的认证工作。
- 组成:web端,票据系统,认证系统。
-
核心票据:
TGT(Ticket Grangting Ticket):TGT是CAS为用户签发的登录票据,有TGT就表明用户在CAS上成功登录过。用户在CAS认证成功后,会生成一个TGT对象,放入自己的缓存中(Session),同时生成TGC以cookie的形式写入浏览器。当再次访问CAS时,会先看cookie中是否存在TGC,如果存在则通过TGC获取TGT,如果获取到了TGT则代表用户之前登录过,通过TGT及访问来源生成针对来源的ST,用户就不用再次登录,以此来实现单点登录。
TGC(Ticket-granting cookie):TGC就是TGT的唯一标识,以cookie的形式存在在CAS Server三级域名下,是CAS Server 用来明确用户身份的凭证。
ST(Service Ticket):ST是CAS为用户签发的访问某一客户端的服务票据。用户访问service时,service发现用户没有ST,就会重定向到 CAS Server 去获取ST。CAS Server 接收到请求后,会先看cookie中是否存在TGC,如果存在则通过TGC获取TGT,如果获取到了TGT则代表用户之前登录过,通过TGT及访问来源生成针对来源的ST。用户凭借ST去访问service,service拿ST 去CAS Server 上进行验证,验证通过service 生成 用户session,并返回资源。
时序图
-
第一次请求客户端
- 浏览器向客户端CAS Client 发送访问请求
- CAS Client 接受请求,Filter会拦截请求,进行以下检测。如果都没有CAS Client 将请求重定向到CAS Server,并传递Service信息。(第一次请求没有session及ST信息)
- 查看session中是否存在用户信息
- 查看请求信息中是否存在ST
- CAS Server 接受到请求,进行以下检测。如果没有TGC 跳转到登录页面(
http://sso.com/login?service=http%3A%2F%2Fapp.example.com
)。有TGC会继续进行以下检查。(第一次请求没有TGC信息)- 查看cookie中是否存在TGC
- 通过TGC 查找对应的TGT
- 通过TGT与Service来源信息生成ST
- 用户在浏览器上输入账号信息,提交表单进行登录。
- CAS Server 接收到登录请求,进行登录信息验证,验证成功后进行以下操作。
- 根据用户信息生成登录票据TGT
- 随机生成一个CAS会话标识 TGC,将 TGC 写入cookie
- 根据Service信息随机生成一个服务票据ST
- 将 ST 作为参数,重定向到Service
http://app.example.com?ticket=ST
- 携带ticket再次请求CAS Client ,这时Filter接收到 ticket 就会跳过验证,直接将ticket发送给CAS Server 进行ST有效性验证(无论ticket是否验证成功都将删除该ticket),如果有效就会把用户信息写到Service的session中三级域名下。
- SSO会话建立成功。
-
第二次请求客户端
- 浏览器向客户端CAS Client 发送访问请求
- CAS Client 接受请求,Filter会拦截请求,进行以下检测。如果有session信息代表登录过,直接返回请求资。(第二次请求有session信息)
- 查看session中是否存在用户信息
-
访问客户端系统B
浏览器向客户端CAS Client 发送访问请求
-
CAS Client 接受请求,Filter会拦截请求,进行以下检测。如果都没有CAS Client 将请求重定向到CAS Server,并传递Service信息。(第一次请求没有session及ST信息)
- 查看session中是否存在用户信息
- 查看请求信息中是否存在ST
-
CAS Server 接受到请求,进行以下检测。由于之前访问客户端系统A生成了TGC信息,不会跳转到登录页面,直接将 ST 作为参数,重定向到Service
http://app.example.com?ticket=ST
。- 查看cookie中是否存在TGC
- 通过TGC 查找对应的TGT
- 通过TGT与Service来源信息生成ST
携带ticket再次请求CAS Client ,这时Filter接收到 ticket 就会跳过验证,直接将ticket发送给CAS Server 进行ST有效性验证,如果有效就会把用户信息写到Service的session中。
SSO会话建立成功。
单点登出
- 客户端A登出,请求 CAS Client 清除用户SESSION信息,并请求CAS Server 清除TGC及TGT信息,并重定向到登录页面。
- 由于客户端B之前登录过,存在SESSION信息,正常访问并返回资源。
- 再次访问客户端A或者客户端C等,CAS Server 都会返回登录页面,进行登录。