摘要:是大學(xué)發(fā)起的一個(gè)企業(yè)級(jí)的開源的項(xiàng)目�,旨在為應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄解決方法屬于。實(shí)現(xiàn)原理是先通過的認(rèn)證����,然后向申請(qǐng)一個(gè)針對(duì)于的,之后在訪問時(shí)把申請(qǐng)到的針對(duì)于的以參數(shù)傳遞過去���。后面的流程與上述流程步驟及以后步驟類似
CAS( Central Authentication Service )是 Yale 大學(xué)發(fā)起的一個(gè)企業(yè)級(jí)的�����、開源的項(xiàng)目�,旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄解決方法(屬于 Web SSO )。
其流程用時(shí)序圖描述如下:
請(qǐng)求app地址http://www.app.com
app端(cas client)AuthenticationFilter中校驗(yàn)session中_const_cas_assertion_��,不為空���,直接放過url���;否則獲取request中的ticket參數(shù),request中無ticket�,302重定向到cas server地址,url中帶上service參數(shù)http://www.casserver.com/?ser...://www.app.com
cas server先判斷context中是否有service對(duì)應(yīng)的TGT
判斷沒有TGT�����,返回login form(客戶端跳轉(zhuǎn)至cas server登錄頁地址)
用戶輸入登錄信息�,form提交至cas server
cas server驗(yàn)證登錄信息,生成TGT和ST
設(shè)置TGC至cookie�����,url中顯式帶上ticket(STid)參數(shù)�����,重定向Browser至App
App中AbstractTicketValidationFilter 會(huì)向cas server請(qǐng)求校驗(yàn)ticket����,帶上ticket(STid)和service(回調(diào)地址)參數(shù)
cas server通過ServiceValidateController校驗(yàn)ticket
確認(rèn)有效后返回校驗(yàn)成功
此時(shí)App中會(huì)根據(jù)成功結(jié)果,在session中設(shè)置_const_cas_assertion_屬性
重定向到app���,此時(shí)url中不帶有ticket參數(shù)
這時(shí)再經(jīng)過AuthenticationFilter時(shí)�,session中有_const_cas_assertion_屬性�����,放行�;再經(jīng)過AbstractTicketValidationFilter時(shí),request中沒有ticket參數(shù)�����,放行���,訪問目標(biāo)資源
返回目標(biāo)資源給browser
要點(diǎn)如下:
如若第4步中�����,判斷結(jié)果為有service對(duì)應(yīng)的TGT���,先驗(yàn)證ticket(TGTid)����、service是否合法�����,再根據(jù)renew參數(shù)看是否要重新創(chuàng)建service ticket�,若要重新創(chuàng)建,則需要重新登錄�;否則重新轉(zhuǎn)向service地址
如若app端想使用自己的自定義登錄界面,可以在第4步中不跳轉(zhuǎn)cas server的登錄頁地址���,轉(zhuǎn)而跳轉(zhuǎn)至自定義登錄頁面�����。但需要向cas server端請(qǐng)求login ticket��,在用戶填寫登錄表單后��,連同login ticket一同傳參至cas server去做校驗(yàn)
第6步中���,TGT和ST的生成規(guī)則(這里指TGTid和STid的生成規(guī)則,TGT和ST均為類):"TGT_XX_RandomStr" "ST_XXX_RandomStr"����。XX����、XXX為AtomicLong.getAndIncrement()方法自增Long類型數(shù)字(最大值時(shí)�,調(diào)用AtomicLong.compareAndSet()方法置0)�;RandomStr為隨機(jī)字符串
步驟12中再已校驗(yàn)完用戶信息的情況下,再次進(jìn)行重定向的目的�,是為了隱藏第7步重定向時(shí)url中的ticket入?yún)?/p>
單點(diǎn)登錄的目的,是讓用戶登錄App1后����,如有權(quán)限,可免登錄�����,直接訪問App2��、App3等�。cas的實(shí)現(xiàn)方式,是在訪問其他App時(shí)�����,使用Cas Proxy。實(shí)現(xiàn)原理是App1先通過Cas Server的認(rèn)證����,然后向Cas Server申請(qǐng)一個(gè)針對(duì)于App2的proxy ticket,之后在訪問App2時(shí)把申請(qǐng)到的針對(duì)于App2的proxy ticket以參數(shù)ticket傳遞過去�����。后面的流程與上述cas流程步驟8及以后步驟類似
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/69276.html
