单点登录
单点登录就是一次登录过后,再没有退出或者清缓存的情况下,用户再访问其他集成了这个功能的项目时,就不需要进行重复的登录操作,这样会大大的方便用户的使用。如果每次都需要用户登录一遍,估计这个项目也就没多少人用了,所以单点登录这个功能是非常必要的。
CAS
CAS 是耶鲁大学开源的一个单点登录框架,旨在为 web 应用系统提供一个安全可靠的单点登录框架,最终,在我们公司的项目中选择了使用 CAS 框架。
名词解释
在我们了解 CAS 的工作原理之前,我们应该首先了解下在 CAS 里面的一些概念,这样对我们理解 CAS 有一个更好的帮助。
ST:Service Ticket,服务票据,服务的唯一标识码,由 CAS 认证中心生成,返回给用户,这时 service 拿到 ST 后,又会去到 CAS 验证中心去验证,如果验证成功,则允许用户访问资源。
TGC:Ticket Granting Cookie,CAS 系统用来识别用户身份的凭证。
TGT:Ticket Grangting Ticket,票据授权票据,获取这个 TGT 后才能申请服务票据(ST),用户如果在 CA S系统认证成功之后,就会生成 TGC 写入浏览器,同时也生成一个 TGT,TGT 对象的id就是 cookie 值。之后每次请求过来通过此 cookie 来从缓存获取 TGT,就不用提交身份认证信息(Credentials)。
工作过程
了解到上面这些名词的概念之后,我们来看看下面这一张图,能更形象的解释 CAS 的工作流程。
工作原理图
访问服务: SSO 客户端发送请求访问应用系统提供的服务资源。
定向认证: SSO 客户端会重定向用户请求到 SSO 服务器。
用户认证:用户身份认证。
发放票据: SSO 服务器会产生一个随机的 Service Ticket 。
验证票据: SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问服务。
传输用户信息: SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。
CAS 分为服务端和客户端,每一个服务就相当于是一个客户端,当用户去访问一个没有经过登录的服务时,会重定向到 CAS Server 提供的登录界面,不过这个界面我们也可以自定义,也可以使用原客户端的登录界面,需要我们自己去做一些修改。输入完用户名和密码后,CAS Server 验证成功后,会向浏览器增加一个加密过的 cookie,也就是 TGC ,用来表明用户已经成功登录,这里保存了用户的信息,以供其他客户端使用。同时会重定向到客户端并且创建一个随机的,具有唯一标识的 Ticket,也就是 ST,CAS 将 ST 与登录成功的用户和服务联系在一起,只使用一次,使用过后立刻失效。客户端接收到 ST 后,会进行校验,校验成功后,创建 Session,放开相关资源供用户使用。当用户去访问其他服务时,这时用户已经成功登录过了,这时任然会重定向到 CAS Server 端,但是不需要用户再输入用户名和密码了,而是首先寻找 Cookie,根据其中的信息,进行登录,CAS 同样给出新的 ST 重定向到 Server 端校验,校验成功则创建 Session,允许访问。
看到这里,我们大致能够明白 CAS 的工作过程,第一步用户访问应用服务器重定向到认证服务器(CAS Server),输入用户名和密码,验证成功后,建立浏览器与认证服务器(CAS Server)之间的信任,但是浏览器与应用服务器之间并没有建立信任,所以 ST 是认证服务器返回的,应用服务器拿到这个 ST 后,再去认证服务器验证是否合法,如果合法,则建立应用服务器与认证服务器之间的信任。TGC 主要的作用是用于单点登录,当浏览器访问应用服务器2的时候,也会重定向到认证服务器,这时 TGC 存在,不需要输入用户名和密码,直接返回 ST,继续验证是否合法,成功则允许访问。
CAS 的工作过程我们都了解了,接下来就是在自己项目的实际配置了,接下来我会继续分享我在项目中实际应用的情况,希望能够帮助到大家,同时对我自己也是一次关于 CAS 使用的总结。
閱讀更多 程序員界的彭于晏 的文章
