JA-SIG（CAS）学习笔记2

背景知识：
什么是SSO（Single Sign On）单点登录：
    所谓单点登录是指基于用户/会话认证的一个过程，用户只需一次性提供凭证（仅一次登录），就可以访问多个应用。
目前单点登录主要基于Web的多种应用程序，即通过浏览器实现对多个B/S架构应用的统一账户认证。

JA-SIG（CAS）的设计愿景：
    简单的说，CAS（Central Authentication Service – 中心认证服务）的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份。在CAS上认证的用户将获得CAS颁发的一个证书，使用这个证书，用户可以在承认CAS证书的各个系统上自由穿梭访问，不需要再次的登录认证。打个比方：对于加入欧盟的国家而言，在他们国家中的公民可以凭借着自己的身份证，在整个欧洲旅行，不用签证。对于企业内部系统而言，CAS就是这个颁发欧盟认证的系统，其它系统都是加入欧盟的国家，它们要共同遵守和承认CAS的认证规则。
    因此CAS的设计愿景就是：
    1。实现一个易用的、能跨不同Web应用的单点登录认证中心；
    2。实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞；
    3。降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略

CAS1.0服务架构实现：
传统的用户认证流程
    我们以A公司的员工日志管理系统为例，如下图：


使用CAS后的用户认证流程


示意图中，CAS相关部分被标示为蓝色。在这个流程中，员工AT向日志系统请求进入主页面，他的浏览器发出的HTTP请求被嵌入在日志系统中的CAS客户端（HTTP过滤器）拦截，并判断该请求是否带有CAS的证书；如果没有，员工AT将被定位到CAS的统一用户登录界面进行登录认证，成功后，CAS将自动引导AT返回日志系统的主页面。


CAS的程序逻辑实现
    要完成上述的认证业务，CAS需要一个认证中心服务器CAS -Server和嵌入在不同业务系统方的认证客户端CAS-Client的协同。

在CAS1.0协议中，CAS-Server提供的三个验证服务接口（web服务URL）：
    1. 用户登录URL，形如 https://casserver/cas/servlet/login
    2. 用户凭证校验URL，形如 https://casserver/cas/servlet/validate
    3. 用户登出URL，形如 https://casserver/cas/servlet/logout

在CAS-Client端，CAS提供了多样化的语言支持，其中用于java的是一个casclient.jar包。目前的版本为2.1.1，其中提供了三种形式的凭证校验：
    1. 用于Java Servlets的Filter — edu.yale.its.tp.cas.client.filter.CASFilter
    2. 用于JSP页面的CAS Tag Library
    3. 通用Java API Object — ServiceTicketValidator / ProxyTicketValidator

    通常，企业应用程序基于浏览器的B/S模式，这种情况下，系统的用户凭证（一个由CAS服务器生成的唯一 id号，也称之为ticket）借助cookie和URL参数方式实现；在B/S环境中，大多情况下，我们只需要配置CAS Filter或者使用CAS Tag Library就可以轻松实现的验证客户端。
    如果应用是以普通的C/S模式运行，则需要应用程序自己来维护这个ticket在上下文环境中的传输和保存了。这时候就需要手工调用ServiceTicketValidator / ProxyTicketValidator对象的方法，向CAS 服务器提交认证，并获取认证结果进行相应的处理。


CAS服务的具体实现
    环境假设：用户User要访问业务系统Biz；Biz系统部署在bizserver上；CAS的系统搭建在服务器casserver上。

图例说明：
Step1: 用户第一次访问Biz系统主页http://bizserver/index.jsp ;部署在Biz系统上的CASFilter发现用户尚未登录，将用户重定向的CAS登录界面 https://casserver/cas/servlet/login?service=http://bizserver/index.jsp ，同时在重定向的URL上用service参数将用户的目标地址传给CAS服务器。

Step2:用户在CAS的登录页上输入用户名密码登录，CAS服务器认证通过后，生成一个ticket，并带在目标地址的尾部返回客户端的浏览器redirect：http://bizserver/index.jsp?ticket=casticket.

Step3:客户端浏览器获得CAS服务器的认证应答，取得凭证ticket后，使用重定向的链接http://bizserver/index.jsp?ticket=casticket访问Biz服务

Step4: BizServer上的CASFilter再次过滤访问请求，并获得ticket凭证。Filter将使用该凭证通过URL https://casserver/cas/servlet/validate?service= http://bizserver/index.jsp &ticket=casticket 向CAS认证中心确认对应的服务请求和凭证是否有效。根据CAS服务器返回的结果，如果凭证有效，则CASFilter允许用户进入http://bizserver/index.jsp 所指向的页面；否则，再次重定向到https://casserver/cas/servlet/login?service=http://bizserver/index.jsp 上要求用户进行认证。


CAS2.0服务架构实现：
    CAS2.0的协议主要是针对web应用的SSO功能增强的协议，它在1.0协议基础上扩展了Proxy Authentication（代理认证）能力。那么什么是Proxy Authentication呢？！

代理认证Proxy Authentication
    假设有一下这样的应用场景：用户AT早晨来到公司，他的第一件事就是进入公司的Portal系统浏览一天的新咨询，如股票信息、天气情况、业界新闻。他通过CAS的身份认证登录了门户系统，看到了他订制的信息。之后，他要访问portal中的邮件信息，看看有没有新的邮件。这时候Portal系统必须访问他的IMAP服务器，这需要他的私人密码。我们知道Portal是通过CAS对AT进行认证的，因此Portal上没有AT的个人密码信息。这时，我们发现，Portal需要代表AT的身份向IMAP服务器提交身份认证，而这正是Proxy Authentication的作用。

CAS2.0系统架构中的角色


CAS2.0系统中的用到的凭证（ticket）


以上对于CAS2.0协议中用到的5种ticket的说明，乍看起来也许会让你云里雾里的。没关系，下面我们就来详细阐述这5种凭证在实际认证流程中的作用。在阐述具体流程前，我们要先关注一下2.0协议中对客户端配置的需求.

CAS2.0的客户端配置
    在2.0协议中，CAS-Server端的配置与1.0基本一致。但在客户端上，多增加了一个call back URL，该URL用来提供server端向client端传输PGT时使用。因此，除了要配置edu.yale.its.tp.cas.client.filter.CASFilter作为认证过滤器外，还要配置edu.yale.its.tp.cas.proxy.ProxyTicketReceptor这个servlet，作为server回传PGT的call back URL，如下：


CAS2.0代理认证流程
    以下的流程图模拟上述的用户AT通过Portal向他的IMAP邮件服务器请求电子邮件的认证过程。在该过程中，充当Service和Proxy两个角色的Portal使用CAS Filter对访问其自身的用户进行CAS认证；同时Portal要使用ProxyTicketReceptor servlet接收来自CAS server的PGT信息，并使用ProxyTicketValidator对象向CAS获取访问IMAP服务器的Proxy Ticket凭证；最终从IMAP服务器上获取AT用户的mail信息。同样的，这里的IMAP服务器也要接受并认可CAS对其用户的认证管理，同时它自己也成为二级Proxy，在有需要的情况下，一样可以向它的back-end Service发起Proxy Authentication代理认证请求……

其中蓝色线表示HTTP或HTTPS的请求；红色线表示应答；黑色线表示来自CAS server端的回调操作。

    到此，本章节对JA-SIG（CAS）的整体功能和身份认证业务架构进行初步的讲解，在后续的章节中，我们将对CAS平台的服务端和客户端的编程与应用定制等相关内容的进行介绍。

参考资料： 1) JA-SIG（CAS）学习笔记1    2) JA-SIG官方站点

评论

20 楼 KeepMoving龙强 2015-01-07  

demo 了？

19 楼 qq461149132 2012-09-23  

楼主，我有点不明白。我们公司现在是要做的是：大系统中做好单点登录，如果有第三方系统要集成进来，那怎么进行像cas-client登录样？我要怎么把cas-server提供给他呢？

18 楼 snowspice 2011-12-22  

我想知道代理服务和target_service之间是怎么进行联系的？比如我做了一个proxy_client ,里面把

<servlet>

		<servlet-name>ProxyTicketReceptor</servlet-name>
		<servlet-class>edu.yale.its.tp.cas.proxy.ProxyTicketReceptor</servlet-class>
		<init-param>
			<param-name>edu.yale.its.tp.cas.proxyUrl</param-name>
			<param-value>https://localhost:8443/cas/proxy</param-value>
		</init-param>
	</servlet>

	<servlet-mapping>
		<servlet-name>ProxyTicketReceptor</servlet-name>
		<url-pattern>/CasProxyServlet</url-pattern>
	</servlet-mapping>

加入。另一个是被代理对象sso client，那么我怎将两者联系在一起 。难道是在页面中写成超链接，i.e..

<a href="https://localhost:8443/cas/proxy?targetService=$1&pgt=$2">访问目标服务</a>

17 楼 lijunlong 2011-11-17  

非常难过好 

16 楼 langyjcm 2011-05-25  

的一个过程

15 楼 linliangyi2007 2010-02-02  

uuuvvv 写道

关于Proxy Authentication我有两个问题希望你能解答
1、我理解的代理认证是应用A可以代理cas向应用B发送ticket（这里叫PT），完后应用B再使用这个ticket向cas认证端做校验，类似于一个环形。但我觉得为什么不让B自己去请求ticket呢？这个类似于一个星形。在什么情况下需要使用到代理认证呢？
2、使用代理认证时，应用B是否也需要改造？（添加casclient.jar）
ps:你的blog写的很好

你的理解基本准确。B也一样需要casclient.jar。实际上代理认证和标准认证就的主体过程是一样的，唯一多的一部分就是应用A要去CAS申请一个PT，再利用PT去访问B。而申请PT就需要另一个东西——PGT。

这个PGT就是CAS就通过一个callback的url，发送给A的东西。

14 楼 uuuvvv 2010-02-02  

关于Proxy Authentication我有两个问题希望你能解答
1、我理解的代理认证是应用A可以代理cas向应用B发送ticket（这里叫PT），完后应用B再使用这个ticket向cas认证端做校验，类似于一个环形。但我觉得为什么不让B自己去请求ticket呢？这个类似于一个星形。在什么情况下需要使用到代理认证呢？
2、使用代理认证时，应用B是否也需要改造？（添加casclient.jar）
ps:你的blog写的很好

13 楼 ronartest 2009-11-16  

     按照楼主的说法：“你还要登出各个应用自己的session啊，呵呵。因为你先前进入了那个应用，那么浏览器已经有持有它的sessionid了，这样的情况下，是不访问CAS服务器的，因此即使CAS登出了，旧应用仍然能登入 ”

   按您的说法我想问的是:用户访问了若干个系统之后，要一个个系统去登出?而不能实现在任意一个系统登出之后，先前访问过的其他系统还能继续访问吗？



我现在看到一个现象让我比较矛盾
以下是访问步骤：
1访问:http://www.cas.com:8080/YaleCASTest/
2访问:http://www.aaa.com:8080/YaleCASTest/
3访问:http://www.xxx.com:8087/vcmplat/xzLoad.do?method=showHome
4访问：http://www.cas.com:8087/vcmplat/xzLoad.do?method=showHome


1和2同一个项目用不同的域访问它们是同一个sessionid，3和4同一个项目用不同的域访问也是同一个sessionid，
  然后访问3或者4登出，以下是登出代码：

try {

HttpSession session = (HttpSession) request.getSession();
session.removeAttribute("ss_user");
session.removeAttribute("ss_login_success");

//移走cookie
CookieUtil.removeCookie(request,response,"loginName");
CookieUtil.removeCookie(request,response,"passwd");

//session.removeAttribute("edu.yale.its.tp.cas.client.filter.user");
session.invalidate();
response.sendRedirect("https://www.cas.com:8443/cas-server-webapp-3.3.4/logout");
return null;

} catch (Exception e) {
//很抱歉，注销失败了
saveError(request, new ActionMessage("vcmLogin.logout.missing"));
return mapping.findForward("error_back");
}

我尝试过用不同的访问顺序来登陆，在3或者4登出。
这样登出之后，2、3、4 都不能访问了。。。1却还能访问。。

12 楼 linliangyi2007 2009-11-13  

kevindurant 写道

分别访问下面的路径
1访问：http://www.cas.com:8080/servlets-examples/

2访问：http://www.xxx.com:8080/servlets-examples/

3访问：http://www.zzz.com:8080/jsp-examples/

4用登出：https://www.cas.com:8443/cas-server-webapp-3.3.4/logout

5再次访问：http://www.xxx.com:8080/servlets-examples/ 仍然可以访问，

6再次访问：http://www.cas.com:8080/servlets-examples/ 是不可以访问的

7再次访问：http://www.zzz.com:8080/jsp-examples/ 仍然可以访问，

8访问：http://www.aaa.com:8080/jsp-examples 也无法访问 

9访问：http://www.xxx.com:8080/casTest 也无法访问

  用cas.com 这个域登出，之前访问过的其他域（xxx.com）的系统仍然可以访问。
  之前没有放过过的域，和项目都无法访问。。

问题大致是这样，测试的项目都是tomcat 自带的例子。

你还要登出各个应用自己的session啊，呵呵。因为你先前进入了那个应用，那么浏览器已经有持有它的sessionid了，这样的情况下，是不访问CAS服务器的，因此即使CAS登出了，旧应用仍然能登入

11 楼 kevindurant 2009-11-13  

分别访问下面的路径
1访问：http://www.cas.com:8080/servlets-examples/

2访问：http://www.xxx.com:8080/servlets-examples/

3访问：http://www.zzz.com:8080/jsp-examples/

4用登出：https://www.cas.com:8443/cas-server-webapp-3.3.4/logout

5再次访问：http://www.xxx.com:8080/servlets-examples/ 仍然可以访问，

6再次访问：http://www.cas.com:8080/servlets-examples/ 是不可以访问的

7再次访问：http://www.zzz.com:8080/jsp-examples/ 仍然可以访问，

8访问：http://www.aaa.com:8080/jsp-examples 也无法访问 

9访问：http://www.xxx.com:8080/casTest 也无法访问

  用cas.com 这个域登出，之前访问过的其他域（xxx.com）的系统仍然可以访问。
  之前没有放过过的域，和项目都无法访问。。

问题大致是这样，测试的项目都是tomcat 自带的例子。

10 楼 kevindurant 2009-11-13  

图模拟上述的用户AT通过Portal向他的IMAP邮件服务器请求电子邮件的认证过程。在该过程中，充当Service和Proxy两个角色的Portal使用CAS Filter对访问其自身的用户进行CAS认证；同时Portal要使用ProxyTicketReceptor servlet接收来自CAS server的PGT信息，并使用ProxyTicketValidator对象向CAS获取访问IMAP服务器

kevindurant 写道

   感谢楼主写下了这么好的实战篇供后人学习！

   请问楼主是怎么处理系统登出的？

   cas 是否有提供登出接口！

CAS有个登出函数，能够废除用户的sso凭证


我是这么登出的 https://www.cas.com:8443/cas-server-webapp-3.3.4/logout

  我目前测试发现有个问题，不能正常的登出，我整理一下把问题发上来。。

  请问楼主是不是直接请求这个就可以登出了呢？如果不是 那是什么函数？

9 楼 kevindurant 2009-11-13  

linliangyi2007 写道

kevindurant 写道

   感谢楼主写下了这么好的实战篇供后人学习！

   请问楼主是怎么处理系统登出的？

   cas 是否有提供登出接口！

CAS有个登出函数，能够废除用户的sso凭证

我是这么登出的 https://www.cas.com:8443/cas-server-webapp-3.3.4/logout

  我目前测试发现有个问题，我整理一下把问题发上来。。

  请问楼主是不是直接请求这个就可以登出了呢？如果不是 那是什么函数？

8 楼 linliangyi2007 2009-11-13  

kevindurant 写道

   感谢楼主写下了这么好的实战篇供后人学习！

   请问楼主是怎么处理系统登出的？

   cas 是否有提供登出接口！

CAS有个登出函数，能够废除用户的sso凭证

7 楼 kevindurant 2009-11-13  

   感谢楼主写下了这么好的实战篇供后人学习！

   请问楼主是怎么处理系统登出的？

   cas 是否有提供登出接口！

6 楼 linliangyi2007 2009-03-26  

dd2086 写道

能实现用户同步吗？

首先，用户同步跟sso是两个概念。
其次，最简单的做法就是废弃其中一套不同的用户帐户系统，用cas验证替换之。

5 楼 dd2086 2009-03-26  

能实现用户同步吗？

4 楼 linliangyi2007 2009-01-09  

sangshuang 写道

看来博主对CAS很了解，我最近也再研究它，很不理解原理，我已经将一套系统部署到我的CAS上了，现在想加套，忽然觉的没有头绪了，希望楼主给我一些意见，我邮箱是ss_jbkj506@163.com
希望给我发邮件。谢谢

想再加套是啥意思哩？

3 楼 sangshuang 2009-01-09  

看来博主对CAS很了解，我最近也再研究它，很不理解原理，我已经将一套系统部署到我的CAS上了，现在想加套，忽然觉的没有头绪了，希望楼主给我一些意见，我邮箱是ss_jbkj506@163.com
希望给我发邮件。谢谢

2 楼 credapple 2008-12-01  

博主为什么总是不在，而且不回帖啊！
好郁闷哦！

顺便问下：代理模式解决的问题到底是哪一类呢？
我最近用一个工程的链接，访问另一个工程的受保护页面，
结果需要重新输入用户名，密码
你遇到过吗？
怎么解决的呢？

1 楼 credapple 2008-11-27  

你讲的真的很好
我也已经得到pt了
但是我却不知道怎么使用pt
使用url吗？怎么个url呢？
好像看到很多种
你能具体举例吗？