Cas单点登录剖析

CAS简介

CAS(Central Authentication Service) 是 Yale 大学发起的构建 Web SSO 的 开源项目
SSO 是什么？
SSO－Single Sign On就是 单点登录 也就是 多个网站程序 统一到一个网址进行登录身份验证主要特点是：SSO 应用之间使用 Web 协议 (如HTTPS) ，并且只有一个登录入口。我们所讲的SSO，指 Web SSO 。
SSO 的体系中，有下面三种角色：
User（多个）Web应用（多个）SSO认证中心（一个）
所有的登录都在 SSO 认证中心进行。SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是通过认证的用户。SSO 认证中心和所有的 Web 应用建立一种信任关系。就是能达到 很多不同服务器的或者相同服务器的网站 统一到某个地方登录 如果你是使用同一个浏览器登录的 那么 在这个浏览器再打开其他的网站 这个网站 就不用再登录了

CAS 的结构体系

CAS Server
CAS Server 负责完成对用户信息的认证，需要单独部署，CAS Server 会处理用户名 / 密码等凭证 (Credentials) 。就是 安装在服务器端的一个web程序 目前有耶鲁大学的 也有其它机构开发的，它是复制认证的服务器
CAS Client
CAS Client部署在应用程序中，当有对本地 Web 应用受保护资源的访问请求，并且需要对请求方进行身份认证，重定向到 CAS Server 进行认证。

术语解释

TGT:用来存储登入用户身份的的重要票据，一旦用户成功登入到CAS服务器后，CAS服务器就会生成一个TGT,并存储在CAS服务器端。最为重要的是确保TGT是全局唯一的
TGC:是一个存储TGT的Cookie。当登入到CAS服务器后，CAS会在浏览器中存储它，这样下次登入时传回CAS服务器进行登入验证，只有借助Https传输通道，TGC才会被传回CAS服务器
术语解释
SSO－Single Sign On，单点登录
TGT－Ticket Granting Ticket，用户身份认证凭证票据
ST－Service Ticket，服务许可凭证票据
TGC－Ticket Granting Cookie，存放用户身份认证凭证票据的cookie

Cas原理图

访问服务： SSO 客户端发送请求访问应用系统提供的服务资源。
重定向认证： SSO 客户端会重定向用户请求到 SSO 服务器。
用户认证：用户身份认证。
发放票据： SSO 服务器会产生一个随机的 Service Ticket 。
验证票据： SSO 服务器验证票据 Service Ticket 的合法性，验证通过后，允许客户端访问服务。
传输用户信息： SSO 服务器验证票据通过后，传输用户认证结果信息给客户端。

Cas原理解析

已登录用户首次访问应用群中系统B时：
1)、浏览器访问另一应用B需登录受限资源，此时进行登录检查，发现未登录，然后进行获取票据操作，发现没有票据。
2)、系统B发现该请求需要登录，将请求重定向到认证中心，获取全局票据操作，获取全局票据，可以获得，认证中心发现已经登录。
3)、认证中心发放临时票据(令牌)，并携带该令牌重定向系统B。
4)、此时再次进行登录检查，发现未登录，然后再次获取票据操作，此时可以获得票据(令牌)，系统B与认证中心通信，验证令牌有效,证明用户已登录。
5)、系统B将受限资源返回给客户端。

CAS详细过程图解