江苏龙网

  1. 主页 > 生活百科 > >

单点登录CAS集成原理和应用验证

单点登录

单点登录 (SingleSign-On,SSO) ,是一种帮助用户快捷访问网络中多个站点的安全通信技术 。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录 。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码 。
云程平台支持CAS、OAuth2、JWT三种主流的单点登录技术,客户可根据需求选择对应技术方案 。
一、CAS总体架构介绍CAS(Central Authentication Service)是 Yale大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法 。CAS的目标是允许用户访问多个应用程序只提供一次用户凭据(如用户名和密码) 。
CAS 体系包含两个部分: CAS Server 和 CAS Client 。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server 。

单点登录CAS集成原理和应用验证

文章插图
 
CAS 具有以下特点:
  • 一个开放的,文档齐全的协议 。
  • 开源的JAVA服务器组件 。
  • CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .NET, php, Perl, Apache, uPortal, Ruby 等 。
  • 文档社区化和实现的支持 。
  • 具有广泛的客户群的支持 。
CAS官方文档:https://apereo.github.io/cas/5.3.x/index.html#
二、CAS单点原理和集成流程在 CAS 的整个登录过程中,有三个重要的概念 。
  1. TGT:TGT 全称叫做 Ticket Granting Ticket,这个相当于我们平时所见到的 HttpSession 的作用,用户登录成功后,用户的基本信息,如用户名、登录有效期等信息,都将存储在此 。
  2. TGC:TGC 全称叫做 Ticket Granting Cookie,TGC 以 Cookie 的形式保存在浏览器中,根据 TGC 可以帮助用户找到对应的 TGT,所以这个 TGC 有点类似与会话 ID 。
  3. ST:ST 全称是 Service Ticket,这是 CAS Sever 通过 TGT 给用户发放的一张票据,用户在访问其他服务时,发现没有 Cookie 或者 ST ,那么就会 302 到 CAS Server 获取 ST,然后会携带着 ST 302 回来,CAS Client 则通过 ST 去 CAS Server 上获取用户的登录状态 。
CAS的单点登录SSO流程如下, 应用系统要做单点登录,需要跟CAS服务进行集成,首先要理解CAS集成流程和原理 。
单点登录CAS集成原理和应用验证

文章插图
 
  1. 用户通过浏览器访问应用1,应用1 发现用户没有登录,于是返回 302,并且携带上一个 service 参数,让用户去 CAS Server 上登录 。
  2. 浏览器自动重定向到 CAS Server 上,CAS Server 获取用户 Cookie 中携带的 TGC,去校验用户是否已经登录,如果已经登录,则完成身份校验(此时 CAS Server 可以根据用户的 TGC 找到 TGT,进而获取用户的信息);如果未登录,则重定向到 CAS Server 的登录页面,用户输入用户名/密码,CAS Server 会生成 TGT,并且根据 TGT 签发一个 ST,再将 TGC 放在用户的 Cookie 中,完成身份校验 。
  3. CAS Server 完成身份校验之后,会将 ST 拼接在 service 中,返回 302,浏览器将首先将 TGC 存在 Cookie 中,然后根据 302 的指示,携带上 ST 重定向到应用1 。
  4. 应用1 收到浏览器传来的 ST 之后,拿去 CAS Server 上校验,去判断用户的登录状态,如果用户登录合法,CAS Server 就会返回用户信息给 应用1 。
  5. 浏览器再去访问应用2,应用2 发现用户未登录,重定向到 CAS Server 。
  6. CAS Server 发现此时用户实际上已经登录了,于是又重定向回应用2,同时携带上 ST 。
  7. 应用2 拿着 ST 去 CAS Server 上校验,获取用户的登录信息 。
  8. 在整个登录过程中,浏览器分别和 CAS Server、应用1、应用2 建立了会话,其中,和 CAS Server 建立的会话称之为全局会话,和应用1、应用2 建立的会话称之为局部会话;一旦局部会话成功建立,以后用户再去访问应用1、应用2 就不会经过 CAS Server 了 。
三、CAS服务端如何部署云程平台对CAS 5.3.x版本无缝集成,并对CAS认证校验进行了扩展,项目上请使用平台提供的CAS 5.3.x运行包 。运行CAS之前需要在数据库先执行平台的脚本,CAS获取用户信息需访问平台的SYS_USER表 。
1 修改数据库连接
打开 casWEB-INFclassesApplication.properties
修改如下配置:
#数据库配置
spring.datasource.driver-class-name=com.MySQL.jdbc.Driverspring.datasource.url=jdbc:mysql://127.0.0.1:3306/yuncheng2021?characterEncoding=UTF-8&useUnicode=true&useSSL=false&zeroDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghaispring.datasource.username=rootspring.datasource.password=rootspring.datasource.type=org.apache.commons.dbcp2.BasicDataSourcespring.jpa.database=mysqlspring.jpa.show-sql=truespring.jpa.hibernate.ddl-auto=updatespring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect


推荐阅读


上一篇:为什么做微商的都那么有钱 之前比马云还要红的他,如今却做起了微商之争

下一篇:美股四次熔断巴菲特-我还是太年轻 美股10天四次熔断