Single Sign-On CAS原理介绍

Single Sign-On Server

单点登录系统在企业级Web服务当中非常常见和广泛存在,作为Web软件开发者,即使你没有开发过,肯定也是使用过的。本系列文章将讲述用于Web网站的单点登录系统的CAS协议、原理,以及简单实现。

0.前言和目标

CAS协议是CAS项目(Central Authentication Service)的核心协议,用于构建企业级单点登录服务。

CAS项目是完全开源的一个单点认证系统,但是因为集成了太多组件而导致项目过于复杂和庞大,官方文档讲的也不算特别细致,对于新手来说学习成本非常高。笔者曾基于CAS 5.x的源码做过二次开发定制,用于实际生产应用,个中道路异常坎坷。但实际上我用到的其中的模块其实并不多,只是几个核心模快如CAS单点登录、OAuth2.0授权、OIDC1.0授权、以及LDAP数据源等等,因为项目中子模块众多,一开始也不知道哪些是必须的,所以编译源代码非常耗时,一头扎进源码很难自拔。

反正出于种种原因,以及脑子里一股想折腾和学习(造轮子)的念头,所以决定尝试自己实现最简版的CAS3.0版本的单点登录协议。

1.CAS协议原理

CAS协议 的原理其实在官网的一张图讲得也是比较清晰。

这里我简单叙述一下:

第一阶段:

0.假设上述图中App和App2都集成了CAS-Server的单点登录能力,那么:

1.首先用户通过浏览器访问App时,App服务发现用户未建立登录会话,这时会返回一个302响应,指示跳转到CAS-Server

2.浏览器根据302响应重定向到CAS-Server的登录页面,用户输入进行登录

3.CAS-Server验证密码登录成功后,也会返回302响应,指示跳转回App服务,其中还会携带一个ticket

4.浏览器根据CAS-Server的302响应,携带ticket再重定向到App服务

5.App服务获取这个ticket,通过Http调用CAS-Server提供的/serviceValidate接口进行ticket验证

6.CAS-Server验证ticket有效后,将登录用户名和用户属性返回给App服务

7.APP服务获取到ticket合法响应后,给用户浏览器建立登录会话,并返回用户请求的资源响应

第二阶段:

8.用户再通过浏览器访问App2服务获取资源时,重新开始1流程,但是流程2不会再次要求输入密码,因为用户刚刚已经在CAS-Server登录过了,所以直接返回302响应,指示跳转回App2服务,其中携带一个ticket

9.浏览器根据CAS-Server的302响应,携带ticket再重定向到App2服务

10.App2服务获取这个ticket,通过Http调用CAS-Server提供的/serviceValidate接口进行ticket验证

11.CAS-Server验证ticket有效后,将登录用户名和用户属性返回给App2服务

12.APP2服务获取到ticket合法响应后,给用户浏览器建立登录会话,并返回用户请求的资源响应

2.CAS协议规范

CAS3.0规范 中定义了很多API(包括登录API和代理API),代理API接口我其实用不上,也为了简单起见,所以只实现登录API。

URI 描述
/login 登录
/logout 登出
/validate 服务票据验证 (暂不实现)
/serviceValidate 服务票据验证[CAS 2.0]
/proxyValidate 服务/代理票据验证[CAS 2.0] (暂不实现)
/proxy 代理票据服务[CAS 2.0] (暂不实现)
/p3/serviceValidate 服务票据验证[CAS 3.0]
/p3/proxyValidate 服务/代理票据验证[CAS 3.0] (暂不实现)

接下来我会实现规范表格中的 /login,/logout,/serviceValidate,/p3/serviceValidate接口。

相关推荐
阿伟*rui26 分钟前
配置管理,雪崩问题分析,sentinel的使用
java·spring boot·sentinel
XiaoLeisj2 小时前
【JavaEE初阶 — 多线程】单例模式 & 指令重排序问题
java·开发语言·java-ee
paopaokaka_luck2 小时前
【360】基于springboot的志愿服务管理系统
java·spring boot·后端·spring·毕业设计
dayouziei2 小时前
java的类加载机制的学习
java·学习
Yaml44 小时前
Spring Boot 与 Vue 共筑二手书籍交易卓越平台
java·spring boot·后端·mysql·spring·vue·二手书籍
小小小妮子~4 小时前
Spring Boot详解:从入门到精通
java·spring boot·后端
hong1616884 小时前
Spring Boot中实现多数据源连接和切换的方案
java·spring boot·后端
aloha_7895 小时前
从零记录搭建一个干净的mybatis环境
java·笔记·spring·spring cloud·maven·mybatis·springboot
记录成长java5 小时前
ServletContext,Cookie,HttpSession的使用
java·开发语言·servlet
睡觉谁叫~~~5 小时前
一文解秘Rust如何与Java互操作
java·开发语言·后端·rust