CAS 中央认证服务 实现 单点登录（SSO）

介绍

• 单点登录 SSO(Single Sign On) ：
  • 简介：多个系统中只需要登录一次，就可以用已登录的身份访问所有相互信任的多个系统。
  • 优点：
    • 解决子系统登录问题，直接在父系统统一进行登录。
    • 企业级业务系统通用账号，只需登录一次。
• 中央认证服务 CAS(Central Authentication Service)：
  • 简介：实现SSO的开源项目，最初由耶鲁大学创建。

CAS 架构

CAS架构.png

• CAS Client：

• 负责处理对客户端受保护资源的访问请求，需要登录时重定向到CAS Server进行认证，与受保护的客户端应用部署在一起，以Filter方式保护受保护的资源。

• CAS Server：

  • 独立部署，主要负责对用户的认证工作。
  • 组成：web端，票据系统，认证系统。

• 核心票据：

  • TGT(Ticket Grangting Ticket)：TGT是CAS为用户签发的登录票据，有TGT就表明用户在CAS上成功登录过。用户在CAS认证成功后，会生成一个TGT对象，放入自己的缓存中(Session)，同时生成TGC以cookie的形式写入浏览器。当再次访问CAS时，会先看cookie中是否存在TGC，如果存在则通过TGC获取TGT，如果获取到了TGT则代表用户之前登录过，通过TGT及访问来源生成针对来源的ST，用户就不用再次登录，以此来实现单点登录。

  • TGC(Ticket-granting cookie)：TGC就是TGT的唯一标识，以cookie的形式存在在CAS Server三级域名下，是CAS Server 用来明确用户身份的凭证。

  • ST(Service Ticket)：ST是CAS为用户签发的访问某一客户端的服务票据。用户访问service时，service发现用户没有ST，就会重定向到 CAS Server 去获取ST。CAS Server 接收到请求后，会先看cookie中是否存在TGC，如果存在则通过TGC获取TGT，如果获取到了TGT则代表用户之前登录过，通过TGT及访问来源生成针对来源的ST。用户凭借ST去访问service，service拿ST 去CAS Server 上进行验证，验证通过service 生成 用户session，并返回资源。

时序图

CAS 单点登录.png

• 第一次请求客户端

  • 浏览器向客户端CAS Client 发送访问请求
  • CAS Client 接受请求，Filter会拦截请求，进行以下检测。如果都没有CAS Client 将请求重定向到CAS Server，并传递Service信息。(第一次请求没有session及ST信息)
    • 查看session中是否存在用户信息
    • 查看请求信息中是否存在ST
  • CAS Server 接受到请求，进行以下检测。如果没有TGC 跳转到登录页面（http://sso.com/login?service=http%3A%2F%2Fapp.example.com）。有TGC会继续进行以下检查。（第一次请求没有TGC信息）
    • 查看cookie中是否存在TGC
    • 通过TGC 查找对应的TGT
    • 通过TGT与Service来源信息生成ST
  • 用户在浏览器上输入账号信息，提交表单进行登录。
  • CAS Server 接收到登录请求，进行登录信息验证，验证成功后进行以下操作。
    • 根据用户信息生成登录票据TGT
    • 随机生成一个CAS会话标识 TGC，将 TGC 写入cookie
    • 根据Service信息随机生成一个服务票据ST
    • 将 ST 作为参数，重定向到Service http://app.example.com?ticket=ST
  • 携带ticket再次请求CAS Client ，这时Filter接收到 ticket 就会跳过验证，直接将ticket发送给CAS Server 进行ST有效性验证（无论ticket是否验证成功都将删除该ticket），如果有效就会把用户信息写到Service的session中三级域名下。
  • SSO会话建立成功。

• 第二次请求客户端

  • 浏览器向客户端CAS Client 发送访问请求
  • CAS Client 接受请求，Filter会拦截请求，进行以下检测。如果有session信息代表登录过，直接返回请求资。(第二次请求有session信息)
    • 查看session中是否存在用户信息

• 访问客户端系统B

  • 浏览器向客户端CAS Client 发送访问请求

  • CAS Client 接受请求，Filter会拦截请求，进行以下检测。如果都没有CAS Client 将请求重定向到CAS Server，并传递Service信息。(第一次请求没有session及ST信息)

    • 查看session中是否存在用户信息
    • 查看请求信息中是否存在ST

  • CAS Server 接受到请求，进行以下检测。由于之前访问客户端系统A生成了TGC信息，不会跳转到登录页面，直接将 ST 作为参数，重定向到Service http://app.example.com?ticket=ST。

    • 查看cookie中是否存在TGC
    • 通过TGC 查找对应的TGT
    • 通过TGT与Service来源信息生成ST

  • 携带ticket再次请求CAS Client ，这时Filter接收到 ticket 就会跳过验证，直接将ticket发送给CAS Server 进行ST有效性验证，如果有效就会把用户信息写到Service的session中。

  • SSO会话建立成功。

单点登出

• 客户端A登出，请求 CAS Client 清除用户SESSION信息，并请求CAS Server 清除TGC及TGT信息，并重定向到登录页面。
• 由于客户端B之前登录过，存在SESSION信息，正常访问并返回资源。
• 再次访问客户端A或者客户端C等，CAS Server 都会返回登录页面，进行登录。

参考资料：

CAS—认证原理

单点登录系统(SSO)之CAS(中央认证服务)

CAS中央认证系统