CAS實現單點登陸理解

CAS

　　是 Yale 大學發起的一個企業級的、開源的項目，旨在爲 Web 應用系統提供一種可靠的單點登陸解決方法（屬於 Web SSO ），CAS 開始於 2001 年， 並在 2004 年 12 月正式成爲 JA-SIG 的一個項目。

SSO

　　單點登陸（ Single Sign-On , 簡稱 SSO ）是目前比較流行的服務於企業業務整合的解決方案之一， SSO 使得在多個應用系統中，用戶只須要 登陸一次 就能夠訪問全部相互信任的應用系統。

　　通常 SSO 體系主要角色有三種：

　　　　一、 User （多個）

　　　　二、 Web 應用（多個）

　　　　三、 SSO 認證中心（ 1 個 ）

　　SSO 實現模式通常包括如下三個原則：

　　　　一、   全部的認證登陸都在 SSO 認證中心進行；

　　　　二、   SSO 認證中心經過一些方法來告訴 Web 應用當前訪問用戶到底是不是已經過認證的用戶；

　　　　三、   SSO 認證中心和全部的 Web 應用創建一種信任關係，也就是說 web 應用必須信任認證中心。（單點信任）

　　SSO 的主要實現方式有:　　

　　一、   共享 cookies

　　　　　　基於共享同域的 cookie 是 Web 剛開始階段時使用的一種方式，它利用瀏覽同域名之間自動傳遞 cookies 機制，實現兩個域名之間系統令牌傳遞問題；另外，關於跨域           問題，雖然 cookies 自己不跨域，但能夠利用它實現跨域的 SSO 。如：代理、暴露 SSO 令牌值等。

　　　　　　缺點：不靈活並且有很多安全隱患，已經被拋棄。

　　二、   Broker-based( 基於經紀人 )

　　　　　　這種技術的特色就是，有一個集中的認證和用戶賬號管理的服務器。經紀人給被用於進一步請求的電子身份存取。中央數據庫的使用減小了管理的代價，併爲認證提供            一個公共和獨立的 "第三方 " 。例如 Kerberos 、 Sesame 、 IBM KryptoKnight （憑證庫思想 ) 等。 Kerberos是由麻省理工大學發明的安全認證服務，已經                                     被 UNIX 和 Windows 做爲默認的安全認證服務集成進操做系統。

　　三、   Agent-based （基於代理人）

                   在這種解決方案中，有一個自動地爲不一樣的應用程序認證用戶身份的代理程序。這個代理程序須要設計有不一樣的功能。好比，它可使用口令表或加密密鑰來自動地將            認證的負擔從用戶移開。代理人被放在服務器上面，在服務器的認證系統和客戶端認證方法之間充當一個 " 翻譯 " 。例如 SSH 等。

      四、   Token-based

                 例如 SecureID,WebID ，如今被普遍使用的口令認證，好比 FTP 、郵件服務器的登陸認證，這是一種簡單易用的方式，實現一個口令在多種應用當中使用。

      五、   基於網關

      六、   基於 SAML

               SAML(Security Assertion Markup Language ，安全斷言標記語言）的出現大大簡化了 SSO ，並被 OASIS 批准爲 SSO 的執行標準 。開源組織 OpenSAML 實現                        了 SAML 規範。

CAS的基本原理

　　從結構體系看， CAS 包括兩部分： CAS Server 和 CAS Client 。

CAS Server

　　CAS Server 負責完成對用戶的認證工做 , 須要獨立部署 , CAS Server 會處理用戶名 / 密碼等憑證(Credentials) 。

CAS Client

　　負責處理對客戶端受保護資源的訪問請求，須要對請求方進行身份認證時，重定向到 CAS Server 進行認證。（原則上，客戶端應用再也不接受任何的用戶名密碼等 Credentials ）。

CAS Client 與受保護的客戶端應用部署在一塊兒，以 Filter 方式保護受保護的資源。

理解

CAS 的 SSO 實現方式可簡化理解爲： 1 個 Cookie 和 N 個 Session 。 CAS Server 建立 cookie，在全部應用認證時使用，各應用經過建立各自的 Session 來標識用戶是否已登陸。

用戶在一個應用驗證經過後，之後用戶在同一瀏覽器裏訪問此應用時，客戶端應用中的過濾器會在 session 裏讀取到用戶信息，因此就不會去 CAS Server 認證。若是在此瀏覽器裏訪問別的 web 應用時，客戶端應用中的過濾器在 session 裏讀取不到用戶信息，就會去 CAS Server 的 login 接口認證，但這時CAS Server 會讀取到瀏覽器傳來的 cookie （ TGC ），因此 CAS Server 不會要求用戶去登陸頁面登陸，只是會根據 service 參數生成一個 Ticket ，而後再和 web 應用作一個驗證 ticket 的交互而已。

CAS搭建過程參考：http://www.cnblogs.com/lr393993507/p/5231432.html