CAS简介

CAS(Central Authentication Service) 是 Yale 大学发起的构建 Web SSO 的 开源项目
SSO 是什么?
SSO-Single Sign On就是 单点登录 也就是 多个网站程序 统一到一个网址进行登录身份验证主要特点是:SSO 应用之间使用 Web 协议 (如HTTPS) ,并且只有一个登录入口。我们所讲的SSO,指 Web SSO 。
SSO 的体系中,有下面三种角色:
User(多个)Web应用(多个)SSO认证中心(一个)
所有的登录都在 SSO 认证中心进行。SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是通过认证的用户。SSO 认证中心和所有的 Web 应用建立一种信任关系。就是能达到 很多不同服务器的或者相同服务器的网站 统一到某个地方登录 如果你是使用同一个浏览器登录的 那么 在这个浏览器再打开其他的网站 这个网站 就不用再登录了

CAS 的结构体系

CAS Server
CAS Server 负责完成对用户信息的认证,需要单独部署,CAS Server 会处理用户名 / 密码等凭证 (Credentials) 。就是 安装在服务器端的一个web程序 目前有耶鲁大学的 也有其它机构开发的,它是复制认证的服务器
CAS Client
CAS Client部署在应用程序中,当有对本地 Web 应用受保护资源的访问请求,并且需要对请求方进行身份认证,重定向到 CAS Server 进行认证。

术语解释

TGT:用来存储登入用户身份的的重要票据,一旦用户成功登入到CAS服务器后,CAS服务器就会生成一个TGT,并存储在CAS服务器端。最为重要的是确保TGT是全局唯一的
TGC:是一个存储TGT的Cookie。当登入到CAS服务器后,CAS会在浏览器中存储它,这样下次登入时传回CAS服务器进行登入验证,只有借助Https传输通道,TGC才会被传回CAS服务器
术语解释
SSO-Single Sign On,单点登录
TGT-Ticket Granting Ticket,用户身份认证凭证票据
ST-Service Ticket,服务许可凭证票据
TGC-Ticket Granting Cookie,存放用户身份认证凭证票据的cookie

Cas原理图


访问服务: SSO 客户端发送请求访问应用系统提供的服务资源。
重定向认证: SSO 客户端会重定向用户请求到 SSO 服务器。
用户认证:用户身份认证。
发放票据: SSO 服务器会产生一个随机的 Service Ticket 。
验证票据: SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问服务。
传输用户信息: SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。

Cas原理解析


已登录用户首次访问应用群中系统B时:
1)、浏览器访问另一应用B需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据。
2)、系统B发现该请求需要登录,将请求重定向到认证中心,获取全局票据操作,获取全局票据,可以获得,认证中心发现已经登录。
3)、认证中心发放临时票据(令牌),并携带该令牌重定向系统B。
4)、此时再次进行登录检查,发现未登录,然后再次获取票据操作,此时可以获得票据(令牌),系统B与认证中心通信,验证令牌有效,证明用户已登录。
5)、系统B将受限资源返回给客户端。

CAS详细过程图解

03-05 20:23