單點登錄系列之二---初步認識CAS

原創 王者天下ii 2020-02-25 05:37

1.CAS介紹
  CAS(Central Authentication Service,即中央認證服務),是Yale大學發起的一個開源單點登錄項目,旨在爲應用系統提供一種可靠的單點登錄方法。於2004年12月正式成爲JA-SIG的一個項目。

2.CAS特點

  • 開源的企業級單點登錄解決方案
  • CAS被設計成一個獨立的Web應用程序(cas.war)
  • CAS Client支持非常多的客戶端(這裏指單點登錄系統中的各個 Web 應用),包括Java、.Net、PHP、Perl、Apache、uPortal等
  • 能夠與uPortal, BlueSocket, TikiWiki, Mule, Liferay, Moodle等集成使用。

3.CAS 原理和協議
  從結構上看,CAS 包含兩個部分: CAS Server 和 CAS Client。CAS Server 需要獨立部署,主要負責對用戶的認證工作;CAS Client 負責處理對客戶端受保護資源的訪問請求,需要登錄時,重定向到 CAS Server。
圖1 是 CAS 最基本的協議過程:

  CAS Client 與受保護的客戶端應用部署在一起,以 Filter 方式保護受保護的資源。對於訪問受保護資源的每個 Web 請求,CAS Client 會分析該請求的 Http 請求中是否包含 Service Ticket,如果沒有,則說明當前用戶尚未登錄,於是將請求重定向到指定好的 CAS Server 登錄地址,並傳遞 Service (也就是要訪問的目的資源地址),以便登錄成功過後轉回該地址。用戶在第 3 步中輸入認證信息,如果登錄成功,CAS Server 隨機產生一個相當長度、唯一、不可僞造的 Service Ticket,並緩存以待將來驗證,之後系統自動重定向到 Service 所在地址,併爲客戶端瀏覽器設置一個 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新產生的 Ticket 過後,在第 5,6 步中與 CAS Server 進行身份合適,以確保 Service Ticket 的合法性。
  在該協議中,所有與 CAS 的交互均採用 SSL 協議,確保,ST 和 TGC 的安全性。協議工作過程中會有 2 次重定向的過程,但是 CAS Client 與 CAS Server 之間進行 Ticket 驗證的過程對於用戶是透明的。
另外,CAS 協議中還提供了 Proxy (代理)模式,以適應更加高級、複雜的應用場景,具體介紹可以參考 CAS 官方網站上的相關文檔。
以上大部分內容摘自:http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/index.html


4.準備工作
JA-SIG官方網站:http://www.jasig.org/cas
CAS Server下載地址:http://www.jasig.org/cas/download
CAS Client下載地址:http://downloads.jasig.org/cas-clients/

官方CAS Client for Java 3.1文檔:https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1
Tomcat 6下載地址:http://archive.apache.org/dist/tomcat/tomcat-6/


在此,筆者分別使用cas-server-3.3.3、cas-client-3.1.10(支持單點登出)和Tomcat 6.0.18。


5.部署CAS Server
  解壓cas-server-3.3.3包,將modules/cas-server-webapp-3.3.3.war複製到Tomcat的webapps目錄下,並重命名爲cas3.war,啓動Tomcat。啓動完畢後,訪問地址:http://localhost:8080/cas3/login,我們將看到中央認證服務中用於收集用戶憑證的入口界面:


  默認時,只要用戶輸入相同的用戶名和密碼,就可以登錄到CAS服務器中。比如輸入用戶名/密碼:admin/admin,單擊“登錄”後將成功進入以下成功提示界面:

  當成功登錄到CAS服務器後,瀏覽器會存儲CAS服務器返回的一個Cookie,其名字默認爲“CASTGC”。當目標Web應用實施了CAS SSO之後,它們便需要藉助於這一Cookie實現Web SSO會話。由此建立了用戶與CAS服務器之間的信任關係。

  此時,如果用戶需要退出,可以通過http://localhost:8080/cas3/logout退出CAS服務器。退出操作將導致瀏覽器中存在的CASTGC Cookie被銷燬,即銷燬CAS與當前用戶已建立的信任關係(Web SSO會話)。事實上,由於我們使用的是HTTP協議操控logout,因此瀏覽器中的CASTGC Cookie並未被銷燬。如果藉助於HTTPS操控logout,則瀏覽器中的CASTGC Cookie便會被銷燬掉。在未啓用HTTPS時,如果使用IE,可以通過關閉瀏覽器以達到銷燬CASTGC Cookie的目的。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

CAS單點登錄原理解析(轉載)

1、基於Cookie的單點登錄的回顧        基於Cookie的單點登錄核心原理:       將用戶名密碼加密之後存於Cookie中,之後訪問網站時在過濾器(filter)中校驗用戶權限,如果沒有權限則從Cookie中取出用戶名密

何家大少 2020-06-29 06:12:11

CAS單點登錄學習筆記--CAS Server搭建(一)

CAS單點登錄學習筆記–CAS Server搭建(一) 最近在學習單點登錄框架CAS,首先先嚐試搭建CAS Server,在其中遇到了各種問題,也參考了很多前輩的博客文章。做一個總結,避免以後走彎路。 一、下載cas server

polo_longsan 2020-06-29 03:59:29

CAS5.2.X 服務器端構建

书生也疯狂 2020-05-04 20:49:57

Shiro集成Cas客戶端中文亂碼問題

书生也疯狂 2020-05-04 20:49:57

CAS官方客戶端構建

书生也疯狂 2020-05-04 20:49:57

CAS單點登錄(三)——多種認證方式

XING_Gou 2020-03-19 00:04:59

CAS單點登錄(一)——初識SSO

XING_Gou 2020-03-19 00:04:59

CAS單點登錄(二)——搭建基礎服務

XING_Gou 2020-03-19 00:04:59

單點登錄系列之四---使用RDBMS認證

王者天下ii 2020-02-25 05:37:18

單點登錄系列之五---簡單實施SSO之二

王者天下ii 2020-02-25 05:37:18

單點登錄系列之三---簡單實施SSO

王者天下ii 2020-02-25 05:37:18

cas的rest協議請求方式

Ronux 2020-02-23 23:58:13

cas客戶端驗證流程

Ronux 2020-02-23 23:58:13

CAS單點登錄技術原理

alingluo 2020-02-22 10:50:18

CAS單點登錄技術實踐

alingluo 2020-02-22 10:50:18