低价网站建设哪家更好,html5标签,网页制作二维码,江门排名优化怎么做一、CAS简介和整体流程
CAS 是 Yale 大学发起的一个开源项目#xff0c;旨在为 Web 应用系统提供一种可靠的单点登录方法#xff0c;CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点#xff1a; 【1】开源的企业级单点登录解决方案。 【2】CAS Server 为…一、CAS简介和整体流程
CAS 是 Yale 大学发起的一个开源项目旨在为 Web 应用系统提供一种可靠的单点登录方法CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点 【1】开源的企业级单点登录解决方案。 【2】CAS Server 为需要独立部署的 Web 应用。 【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。 从结构上看CAS 包含两个部分 CAS Server 和 CAS Client。CAS Server 需要独立部署主要负责对用户的认证工作CAS Client 负责处理对客户端受保护资源的访问请求需要登录时重定向到 CAS Server。下图是 CAS 最基本的协议过程 SSO单点登录访问流程主要有以下步骤 访问服务SSO客户端发送请求访问应用系统提供的服务资源。 定向认证SSO客户端会重定向用户请求到SSO服务器。 用户认证用户身份认证。 发放票据SSO服务器会产生一个随机的Service Ticket。 验证票据SSO服务器验证票据Service Ticket的合法性验证通过后允许客户端访问服务。 传输用户信息SSO服务器验证票据通过后传输用户认证结果信息给客户端。
二、详细登录流程 上图是3个登录场景分别为第一次访问www.qiandu.com、第二次访问、以及登录状态下第一次访问mail.qiandu.com。
下面就详细说明上图中每个数字标号做了什么以及相关的请求内容响应内容。
1、第一次访问www.qiandu.com
标号1用户访问http://www.qiandu.com经过他的第一个过滤器cas提供在web.xml中配置AuthenticationFilter。
过滤器全称org.jasig.cas.client.authentication.AuthenticationFilter
主要作用判断是否登录如果没有登录则重定向到认证中心。
标号2www.qiandu.com发现用户没有登录则返回浏览器重定向地址。 首先可以看到我们请求www.qiandu.com之后浏览器返回状态码302然后让浏览器重定向到cas.qiandu.com并且通过get的方式添加参数service该参数目的是登录成功之后会要重定向回来因此需要该参数。并且你会发现其实server的值就是编码之后的我们请求www.qiandu.com的地址。
标号3浏览器接收到重定向之后发起重定向请求cas.qiandu.com。
标号4认证中心cas.qiandu.com接收到登录请求返回登陆页面。 上图就是标号3的请求以及标号4的响应。请求的URL是标号2返回的URL。之后认证中心就展示登录的页面等待用户输入用户名密码。
标号5用户在cas.qiandu.com的login页面输入用户名密码提交。
标号6服务器接收到用户名密码则验证是否有效验证逻辑可以使用cas-server提供现成的也可以自己实现。 上图就是标号5的请求以及标号6的响应了。当cas.qiandu.com即csa-server认证通过之后会返回给浏览器302重定向的地址就是Referer中的service参数对应的值。后边并通过get的方式挟带了一个ticket令牌这个ticket就是ST数字3处。同时会在Cookie中设置一个CASTGC该cookie是网站cas.qiandu.com的cookie只有访问这个网站才会携带这个cookie过去。
Cookie中的CASTGC向cookie中添加该值的目的是当下次访问cas.qiandu.com时浏览器将Cookie中的TGC携带到服务器服务器根据这个TGC查找与之对应的TGT。从而判断用户是否登录过了是否需要展示登录页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。
TGTTicket Granted Ticket俗称大令牌或者说票根他可以签发ST
TGCTicket Granted Cookiecookie中的value存在Cookie中根据他可以找到TGT。
STService Ticket 小令牌是TGT生成的默认是用一次就生效了。也就是上面数字3处的ticket值。
标号7浏览器从cas.qiandu.com哪里拿到ticket之后就根据指示重定向到www.qiandu.com请求的url就是上面返回的url。 标号8www.qiandu.com在过滤器中会取到ticket的值然后通过http方式调用cas.qiandu.com验证该ticket是否是有效的。
标号9cas.qiandu.com接收到ticket之后验证验证通过返回结果告诉www.qiandu.com该ticket有效。
标号10www.qiandu.com接收到cas-server的返回知道了用户合法展示相关资源到用户浏览器上。 至此第一次访问的整个流程结束其中标号8与标号9的环节是通过代码调用的并不是浏览器发起所以没有截取到报文。
2、第二次访问www.qiandu.com
上面以及访问过一次了当第二次访问的时候发生了什么呢
标号11用户发起请求访问www.qiandu.com。会经过cas-client也就是过滤器因为第一次访问成功之后www.qiandu.com中会在session中记录用户信息因此这里直接就通过了不用验证了。
标号12用户通过权限验证浏览器返回正常资源。
3、访问mail.qiandu.com
标号13用户在www.qiandu.com正常上网突然想访问mail.qiandu.com于是发起访问mail.qiandu.com的请求。
标号14mail.qiandu.com接收到请求发现第一次访问于是给他一个重定向的地址让他去找认证中心登录。 上图可以看到用户请求mail.qiandu.com然后返回给他一个网址状态302重定向service参数就是回来的地址。
标号15浏览器根据14返回的地址发起重定向因为之前访问过一次了因此这次会携带上次返回的CookieTGC到认证中心。
标号16认证中心收到请求发现TGC对应了一个TGT于是用TGT签发一个ST并且返回给浏览器让他重定向到mail.qiandu.com 可以发现请求的时候是携带CookieCASTGC的响应的就是一个地址加上TGT签发的ST也就是ticket。
标号17浏览器根据16返回的网址发起重定向。
标号18mail.qiandu.com获取ticket去认证中心验证是否有效。
标号19认证成功返回在mail.qiandu.com的session中设置登录状态下次就直接登录。
标号20认证成功之后就反正用想要访问的资源了。
