SSO单点登录学习之原理篇

什么是CAS？

    CAS ，中央认证服务(Central Authentication Service) 是耶鲁（Yale）大学的 ITS 开发的一套 JAVA 实现的开源的单点登录（SSO，single sign-on) 的服务。

关键字？

    AS——Authentication Service，即认证服务。
    TGT——Ticket Granting Ticket，即票据授权票据。
    ST——Service Ticket，即服务票据。
    TGS——Ticket Granting Service，即票据授权服务。
    TGC——Ticket-granting Cookie，即授权的票据证明。
    KDC——Key Distribution Center，即密钥发放中心。

CAS包括两个组成部分？

    CAS-Client，中央认证服务Client端。
    CAS-Server，中央认证服务Server端。
Client端寄存于Web应用之中，以Java举例来讲，通过配置web.xml文件，实现对用户的登录拦截，并将用户的请求重定向到Server端，由Server去进行身份验证；而Server端独立存在于一个服务器中，负责接收Client端发送过来的请求，完成用户的身份认证，生成TGT，并重定向到Client端的Web服务上。

CAS认证过程？

    CAS 单点服务器的认证过程，所有应用服务器收到应用请求后，检查 ST 和 TGT ，如果没有或不对，转到 CAS 认证服务器登陆页面，通过安全认证后得到 ST 和 TGT 再重定向到相关应用服务器，在会话生命周期之内如果再定向到别的应用，将出示 ST 和 TGT 进行认证 , 注意 , 取得 TGT 的过程是通过 SSL 安全协议的（换句话说就是如果不用 SSL 协议 , 每访问一个应用服务，就得重新到认证服务中心认证一次）。

CAS认证过程举例？

    现在，你要去游乐场玩，首先你要在门口检查你的身份（即检查你的ID 和 PASS), 如果你通过验证 , 游乐场的门卫 (AS) 即提供给你一张门卡 (TGT)。这张卡片的用处就是告诉游乐场的各个场所，你是通过正门进来的。

    现在你有张卡，但是这对你来不重要，因为你来游乐场不是为了拿这张卡的，我们向你的目的出发，恩，你来到一个摩天楼 , 你想进入玩玩。

    这时摩天轮的服务员（client）拦下你 , 向你要求摩天轮的（ST）票据 , 你说你只有一个门卡（TGT），好的，那你只要把 TGT 放在一旁的票据授权机（TGS）上刷一下。

    票据授权机（TGS）就根据你现在所在的摩天轮，给你一张摩天轮的票据（ST），哈，你有摩天轮的票据，现在你可以畅通无阻的进入摩天轮里游玩了。

    当然如果你玩完摩天轮后，想去游乐园的咖啡厅休息下，那你一样只要带着那张门卡（TGT）。到相应的咖啡厅的票据授权机（TGS）刷一下，得到咖啡厅的票据（ST）就可以进入咖啡厅。

    当你离开游乐场后，想用这张 TGT 去刷打的回家的费用，呵呵，对不起，你的 TGT 已经过期了，在你离开游乐场那刻开始，你的 TGT 就已经销毁了。

CAS工作原理机制图