認識單點登陸cas

麼是單點登陸？單點登陸全稱Single Sign On（如下簡稱SSO），是指在多系統應用羣中登陸一個系統，即可在其餘全部系統中獲得受權而無需再次登陸，包括單點登陸與單點註銷兩部分

一、登陸

　　相比於單系統登陸，sso須要一個獨立的認證中心，只有認證中心能接受用戶的用戶名密碼等安全信息，其餘系統不提供登陸入口，只接受認證中心的間接受權。間接受權經過令牌實現，sso認證中心驗證用戶的用戶名密碼沒問題，建立受權令牌，在接下來的跳轉過程當中，受權令牌做爲參數發送給各個子系統，子系統拿到令牌，即獲得了受權，能夠藉此建立局部會話，局部會話登陸方式與單系統的登陸方式相同。這個過程，也就是單點登陸的原理，用下圖說明

　　下面對上圖簡要描述

1 2 3 4 5 6 7 8 9 10 11 12 13 14

用戶訪問系統1的受保護資源，系統1發現用戶未登陸，跳轉至sso認證中心，並將本身的地址做爲參數 sso認證中心發現用戶未登陸，將用戶引導至登陸頁面 用戶輸入用戶名密碼提交登陸申請 sso認證中心校驗用戶信息，建立用戶與sso認證中心之間的會話，稱爲全局會話，同時建立受權令牌 sso認證中心帶着令牌跳轉會最初的請求地址（系統1） 系統1拿到令牌，去sso認證中心校驗令牌是否有效 sso認證中心校驗令牌，返回有效，註冊系統1 系統1使用該令牌建立與用戶的會話，稱爲局部會話，返回受保護資源 用戶訪問系統2的受保護資源 系統2發現用戶未登陸，跳轉至sso認證中心，並將本身的地址做爲參數 sso認證中心發現用戶已登陸，跳轉回系統2的地址，並附上令牌 系統2拿到令牌，去sso認證中心校驗令牌是否有效 sso認證中心校驗令牌，返回有效，註冊系統2 系統2使用該令牌建立與用戶的局部會話，返回受保護資源

　　用戶登陸成功以後，會與sso認證中心及各個子系統創建會話，用戶與sso認證中心創建的會話稱爲全局會話，用戶與各個子系統創建的會話稱爲局部會話，局部會話創建以後，用戶訪問子系統受保護資源將再也不經過sso認證中心，全局會話與局部會話有以下約束關係

1 2 3

局部會話存在，全局會話必定存在 全局會話存在，局部會話不必定存在 全局會話銷燬，局部會話必須銷燬