摘要:是大學(xué)發(fā)起的一個企業(yè)級的開源的項目���,旨在為應(yīng)用系統(tǒng)提供一種可靠的單點登錄解決方法屬于����。實現(xiàn)原理是先通過的認證����,然后向申請一個針對于的,之后在訪問時把申請到的針對于的以參數(shù)傳遞過去��。后面的流程與上述流程步驟及以后步驟類似
CAS( Central Authentication Service )是 Yale 大學(xué)發(fā)起的一個企業(yè)級的�����、開源的項目,旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點登錄解決方法(屬于 Web SSO )����。
其流程用時序圖描述如下:
請求app地址http://www.app.com
app端(cas client)AuthenticationFilter中校驗session中_const_cas_assertion_�,不為空,直接放過url��;否則獲取request中的ticket參數(shù)�����,request中無ticket���,302重定向到cas server地址��,url中帶上service參數(shù)http://www.casserver.com/?ser...://www.app.com
cas server先判斷context中是否有service對應(yīng)的TGT
判斷沒有TGT�,返回login form(客戶端跳轉(zhuǎn)至cas server登錄頁地址)
用戶輸入登錄信息���,form提交至cas server
cas server驗證登錄信息��,生成TGT和ST
設(shè)置TGC至cookie�,url中顯式帶上ticket(STid)參數(shù)���,重定向Browser至App
App中AbstractTicketValidationFilter 會向cas server請求校驗ticket�,帶上ticket(STid)和service(回調(diào)地址)參數(shù)
cas server通過ServiceValidateController校驗ticket
確認有效后返回校驗成功
此時App中會根據(jù)成功結(jié)果,在session中設(shè)置_const_cas_assertion_屬性
重定向到app�����,此時url中不帶有ticket參數(shù)
這時再經(jīng)過AuthenticationFilter時��,session中有_const_cas_assertion_屬性��,放行����;再經(jīng)過AbstractTicketValidationFilter時,request中沒有ticket參數(shù)��,放行���,訪問目標(biāo)資源
返回目標(biāo)資源給browser
要點如下:
如若第4步中����,判斷結(jié)果為有service對應(yīng)的TGT����,先驗證ticket(TGTid)���、service是否合法,再根據(jù)renew參數(shù)看是否要重新創(chuàng)建service ticket�,若要重新創(chuàng)建,則需要重新登錄���;否則重新轉(zhuǎn)向service地址
如若app端想使用自己的自定義登錄界面,可以在第4步中不跳轉(zhuǎn)cas server的登錄頁地址�,轉(zhuǎn)而跳轉(zhuǎn)至自定義登錄頁面。但需要向cas server端請求login ticket�,在用戶填寫登錄表單后,連同login ticket一同傳參至cas server去做校驗
第6步中��,TGT和ST的生成規(guī)則(這里指TGTid和STid的生成規(guī)則��,TGT和ST均為類):"TGT_XX_RandomStr" "ST_XXX_RandomStr"��。XX��、XXX為AtomicLong.getAndIncrement()方法自增Long類型數(shù)字(最大值時��,調(diào)用AtomicLong.compareAndSet()方法置0)��;RandomStr為隨機字符串
步驟12中再已校驗完用戶信息的情況下���,再次進行重定向的目的��,是為了隱藏第7步重定向時url中的ticket入?yún)?/p>
單點登錄的目的��,是讓用戶登錄App1后�,如有權(quán)限,可免登錄�����,直接訪問App2�、App3等。cas的實現(xiàn)方式��,是在訪問其他App時�����,使用Cas Proxy�。實現(xiàn)原理是App1先通過Cas Server的認證,然后向Cas Server申請一個針對于App2的proxy ticket����,之后在訪問App2時把申請到的針對于App2的proxy ticket以參數(shù)ticket傳遞過去。后面的流程與上述cas流程步驟8及以后步驟類似
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/69276.html
