CAS单点登录学习笔记一之CAS基本概念

单点登录

单点登录 概念

    单点登录（SingleSign On , 简称 SSO ）是目前比较流行的服务于企业业务整合的解决方案之一， SSO使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

解决方案

    如收费的有UTrust、惠普灵动等，开源的有CAS、Smart SSO等，其中应用最为广泛的是CAS。

CAS 简介

    CAS(CentralAuthentication Service)是一款不错的针对 Web 应用的单点登录框架。

CAS 组成

结构上看包括两部分，

（1）CAS Server 为需要独立部署的 Web应用，

（2）CAS Client 为非常多的客户端提供支持，这个客户端指单点登录系统中的各个 Web 应用，包括 Java, .Net, PHP, Perl,Apache, uPortal, Ruby 等。

CAS 原理和协议

图是 CAS最基本的协议过程：


（1）CAS Server需要独立部署，主要负责对用户的认证工作；

（2）CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。

（3）CAS Client 与受保护的客户端应用部署在一起，以 Filter方式保护受保护的资源。对于访问受保护资源的每个 Web 请求，CAS Client 会分析该请求的 Http 请求中是否包含 ServiceTicket（服务票据，由 CAS Server发出用于标识目标服务）

如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的 CAS Server 登录地址，并传递 Service（也就是要访问的目的资源地址），以便登录成功过后转回该地址。

如果有，则说明当前用户已经登录，直接访问目的资源地址。

（4）用户输入认证信息，如果登录成功，CAS Server 随机产生一个相当长度、唯一、不可伪造的 ServiceTicket，并缓存以待将来验证，之后系统自动重定向到 Service 所在地址，并为客户端浏览器设置一个 Ticket GrantedCookie（CAS会话标识）

（5）CAS Client 在拿到 Service 和新产生的 Ticket 过后，在第 5，6 步中与 CAS Server进行身份核实，以确保 Service Ticket 的合法性。

（6）在该协议中，所有与 CAS 的交互均采用SSL 协议 ，确保，ST 和 TGC 的安全性。协议工作过程中会有 2次重定向的过程，但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。

（7）另外，CAS 协议中还提供了 Proxy （代理）模式，以适应更加高级、复杂的应用场景，具体介绍可以参考 CAS官方网站上的相关文档。

个人总结：

1. 浏览器输入要访问的服务地址，服务地址即客户端验证是否有ticket，首次访问时ticket一定为空
2. 访问地址重定向到服务端，将访问的客户端地址一并发给服务端，作用是验证完成后重定向回到要访问的客户端程序
3. 服务端需要登录验证，输入用户名密码进行身份验证
4. 验证通过后，服务端会生成一个ticket，并缓存已备 后续的验证
5. 重定向service地址即客户端地址并将ticket发送给客户端，客户端发起与服务端的ticket校验
6. 验证成功服务端返回用户名等信息

博文转载：
CAS单点登录学习笔记一之CAS基本概念
基于CAS实现单点登录（SSO）：工作原理