Single Sign-On CAS原理介绍

Single Sign-On Server

单点登录系统在企业级Web服务当中非常常见和广泛存在,作为Web软件开发者,即使你没有开发过,肯定也是使用过的。本系列文章将讲述用于Web网站的单点登录系统的CAS协议、原理,以及简单实现。

0.前言和目标

CAS协议是CAS项目(Central Authentication Service)的核心协议,用于构建企业级单点登录服务。

CAS项目是完全开源的一个单点认证系统,但是因为集成了太多组件而导致项目过于复杂和庞大,官方文档讲的也不算特别细致,对于新手来说学习成本非常高。笔者曾基于CAS 5.x的源码做过二次开发定制,用于实际生产应用,个中道路异常坎坷。但实际上我用到的其中的模块其实并不多,只是几个核心模快如CAS单点登录、OAuth2.0授权、OIDC1.0授权、以及LDAP数据源等等,因为项目中子模块众多,一开始也不知道哪些是必须的,所以编译源代码非常耗时,一头扎进源码很难自拔。

反正出于种种原因,以及脑子里一股想折腾和学习(造轮子)的念头,所以决定尝试自己实现最简版的CAS3.0版本的单点登录协议。

1.CAS协议原理

CAS协议 的原理其实在官网的一张图讲得也是比较清晰。

这里我简单叙述一下:

第一阶段:

0.假设上述图中App和App2都集成了CAS-Server的单点登录能力,那么:

1.首先用户通过浏览器访问App时,App服务发现用户未建立登录会话,这时会返回一个302响应,指示跳转到CAS-Server

2.浏览器根据302响应重定向到CAS-Server的登录页面,用户输入进行登录

3.CAS-Server验证密码登录成功后,也会返回302响应,指示跳转回App服务,其中还会携带一个ticket

4.浏览器根据CAS-Server的302响应,携带ticket再重定向到App服务

5.App服务获取这个ticket,通过Http调用CAS-Server提供的/serviceValidate接口进行ticket验证

6.CAS-Server验证ticket有效后,将登录用户名和用户属性返回给App服务

7.APP服务获取到ticket合法响应后,给用户浏览器建立登录会话,并返回用户请求的资源响应

第二阶段:

8.用户再通过浏览器访问App2服务获取资源时,重新开始1流程,但是流程2不会再次要求输入密码,因为用户刚刚已经在CAS-Server登录过了,所以直接返回302响应,指示跳转回App2服务,其中携带一个ticket

9.浏览器根据CAS-Server的302响应,携带ticket再重定向到App2服务

10.App2服务获取这个ticket,通过Http调用CAS-Server提供的/serviceValidate接口进行ticket验证

11.CAS-Server验证ticket有效后,将登录用户名和用户属性返回给App2服务

12.APP2服务获取到ticket合法响应后,给用户浏览器建立登录会话,并返回用户请求的资源响应

2.CAS协议规范

CAS3.0规范 中定义了很多API(包括登录API和代理API),代理API接口我其实用不上,也为了简单起见,所以只实现登录API。

URI 描述
/login 登录
/logout 登出
/validate 服务票据验证 (暂不实现)
/serviceValidate 服务票据验证[CAS 2.0]
/proxyValidate 服务/代理票据验证[CAS 2.0] (暂不实现)
/proxy 代理票据服务[CAS 2.0] (暂不实现)
/p3/serviceValidate 服务票据验证[CAS 3.0]
/p3/proxyValidate 服务/代理票据验证[CAS 3.0] (暂不实现)

接下来我会实现规范表格中的 /login,/logout,/serviceValidate,/p3/serviceValidate接口。

相关推荐
xmh-sxh-13145 分钟前
jdk各个版本介绍
java
天天扭码24 分钟前
五天SpringCloud计划——DAY2之单体架构和微服务架构的选择和转换原则
java·spring cloud·微服务·架构
程序猿进阶24 分钟前
堆外内存泄露排查经历
java·jvm·后端·面试·性能优化·oom·内存泄露
FIN技术铺29 分钟前
Spring Boot框架Starter组件整理
java·spring boot·后端
小曲程序36 分钟前
vue3 封装request请求
java·前端·typescript·vue
陈王卜1 小时前
django+boostrap实现发布博客权限控制
java·前端·django
小码的头发丝、1 小时前
Spring Boot 注解
java·spring boot
午觉千万别睡过1 小时前
RuoYI分页不准确问题解决
spring boot
java亮小白19971 小时前
Spring循环依赖如何解决的?
java·后端·spring
飞滕人生TYF1 小时前
java Queue 详解
java·队列