CAS单点登录目录单点登录介绍CAS概述CAS体系结构CAS认证角色与票据关系CAS认证流程CAS单点登出CAS票据策略单点登录简介单点登
录概念 单点登录SSO(SingleSign-On)是一种身份认证机制。单点登录是就是在一个多系统共存的环境下,用户在一处登录后
,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。应用场景单点登录主要是解决在已有业务系统的基础上,将业务
系统的登录认证工作抽取出来单独部署,实现用户身份的统一认证,简化各业务系统登录认证的相关流程,降低企业的运营成本,提高用户的工作
效率。CAS概述CAS(CentralAuthenticationService)是开源的企业级单点登录解决方案,旨在为we
b应用系统提供一种可靠的单点登录方法。由耶鲁大学发起的一个开源项目,应用广泛,具有独立于平台的特点。CAS基于Java实现,易
于扩展,可以自己定制认证方式;集成也相对简单,通过Filter的方式保护受限的资源。CAS单点登录机制是基于Cookie的实现
方式,通过票据进行用户身份的认证。 CAS体系结构Cas-client客户端客户端与业务系统集成,负责拦截http请求,检查
当前用户是否已经过认证,若经过认证,返回用户请求的资源,未经过认证,则将http请求重定向到cas-server,进行登录认证。C
as-server服务端服务端单独部署在一台服务器上,负责系统的登录认证,检查当前用户的合法性,用户在服务端认证通过后,生成
认证票据(ticket),用户在访问其它业务系统时,不需要进行登录操作,便可以访问其它的业务系统。CAS认证角色与票据关系TGT:
用户登录成功后生成的对象,存放用户信息,TGT的id值即为TGCCas-Server服务端TGC票据:TGC为经过cas-serv
er验证通过,由cas-server生成用来存放用户身份认证凭证的cookieST票据:服务票据,业务系统凭借该票据向CAS-se
rver校验当前用户是否通过认证,只能使用一次浏览器业务系统用户CAS认证流程第一次访问客户端APP1第二次访问客户端APP1第一
次访问客户端APP2CAS单点退出CAS-SERVER服务端会记住当前用户登录过的所有业务系统,CAS-SERVER服务端在收
到用户发出的单点登出的请求后,会向当前用户登录过的业务系统发出通知,业务系统受到服务端的通知后,删除当前用户的session,同时
浏览器会删除cas-server的Cookie。用户在访问业务系统时,需要重新进行登录认证。 CAS票据策略用户在2个小时(7
200秒)之内不动移动鼠标或者进行系统超过8个小时(28800秒),则TGTticket过期,当ticket过期后,需要在在C
AS-Server服务端删除此ticket,需要在服务端配置定时任务,定时删除过期票据。票据过期后cas-server服务端执行单
点退出的流程动作,删除浏览器cookie,通知当前用户登陆过的所有业务系统删除用户的session,用户在访问业务系统时,需要重新
进行登录认证。Cas配置票据过期要点:1,合理配置cas-serverTGT票据的过期时间2,合理配置定时清理过期票据的
任务时间3,合理配置ST票据的存活时间4,合理配置客户端session的生命周期 |
|
