CAS-認證流程

從結構上看cas包括兩個部分，CAS server 和CAS client 須要獨立部署，主要負責用戶的認證工做，CAS負責處理對客戶端受保護資源的訪問請求，須要登陸時，從新定向到CAS Server

 

CAS Client 與受保護的客戶端應用部署在一塊兒，以Filter方式保護web應用的受保護資源，過濾從客戶端過來的每個web請求，同時CAS client會分析HTTP請求中是否包含請求service Ticket, 若是沒有，則說明該用戶是沒有通過認證的，因而CAS Client會重定向用戶請求到CAS server

3) 用戶認證過程，若是用戶提供了正確的Credentials，CAS Server會產生一個隨機的Server Ticket ，而後，緩存該Ticket。而且重定向用戶到CAS Client(附帶剛纔產生的Service Ticket)Service Ticket是不能夠僞造的

5) CAS Client 和CAS Server之間完成了一個對用戶的身份覈實，用Ticket 查找userName，由於Ticket是CAS Server產生的。

總結以下：

訪問服務： sso客戶端發送請求訪問應用系統提供的服務資源

定向認證：sso客戶端會重定向用戶請求到SSO服務器

用戶認證：用戶身份認證

發放票據：sso服務器會產生一個隨機的service ticket

驗證票據：sso服務器驗證票據service ticket 的合法性，驗證經過後，容許客戶端訪問服務

傳輸用戶信息：sso服務器驗證票據經過後，傳輸用戶認證結果信息給客戶端

 

 

 

用戶首次登陸時流程

1）用戶瀏覽器訪問系統A須要登陸受限資源，此時進行登陸檢查，發現未登陸，而後進行獲取票據操做，發現沒有票據

2）系統A發現請求須要登陸，將請求重定向到認證中心獲取全局票據操做，沒有，進行登陸操做。

3）認證中心呈現登陸頁面，用戶登陸，登陸成功後，認證中心重定下請求到系統A，並附上認證經過令牌，此時認證中心同時生成了全局票據

4）此時再次進行登陸檢查，發現未登陸，而後再次獲取票據操做，此時能夠得到票據(令牌)，系統A與認證中心通訊，驗證令牌有效，證實用戶已經登陸

5）系統A將受限資源返回給用戶

 

已登陸用戶首次訪問應用羣中系統B

1) 瀏覽器訪問另外一個應用B，需登陸受限資源，此時進行登陸檢查，發現未登陸，而後進行獲取票據操做，發現沒有票據

2）系統B發現該請求須要登陸，將請求重定向到認證中心，獲取全局票據操做，獲取全局票據，能夠得到，認證中心發現已經登陸

3）認證中心發放臨時票據(令牌)，並攜帶該令牌重定向到系統B

4）此時再次進行登陸檢查，發現未登陸，而後再次獲取票據操做，此時能夠獲取票據(令牌)，系統B與認證中心通訊，驗證令牌有效，證實用戶已經登陸

5）系統B將受限資源返回給客戶端

 

 

登陸狀態判斷

用戶到認證中心登陸後，用戶和認證中心之間創建起了回話，咱們把這個會話成爲全局會話。

當用戶後續訪問系統應用時，咱們不可能每次應用請求都到認證中心去斷定是否登陸，這樣效率非現低下，這樣也是單web應用不須要考慮的

能夠在系統應用和用戶瀏覽器之間創建局部會話

局部會話保持了客戶端與該系統應用的登陸狀態，局部會話依附於全局會話存在，全局會話消失，局部會話必須消失

用戶訪問應用時，首先判斷局部會話是否存在 ，若是存在，即認爲是登陸狀態，無需再到認證中心判斷。 如不存在，就重定向到認證中心判斷全局會話是否存在。 若是存在，按1提到的方式通知該應用，該應用與客戶端就創建起他們之間局部會話，下次請求該應用，就再也不去認證中心驗證了。

 

系統登出

用戶在一個系統登出了，訪問其餘子系統，也應該是登出狀態。要想作到這一點，應用除結束本地局部會話外，還應該通知認證中心該用戶登出。

認證中心接到登出通知，便可結束全局會話，同時須要通知全部已創建局部會話的子系統，將它們的局部會話銷燬。這樣用戶訪問其餘應用時，都顯示已登出狀態。

整個登出流程

1）客戶端嚮應用A發出登出logout請求

2）應用A取消本地會話，同時通知認證中心用戶已登出

3）應用A返回客戶端登出請求

4）認證中心通知全部用戶登陸訪問的應用，用戶已登出

 

疑問解答

系統A是如何發現該請求須要登陸重定向到認證中心的

用戶經過瀏覽器地址訪問系統A，系統A(也能夠稱爲CAS客戶端)去Cookie中拿JSESSION，即在Cookie中維護的當前會話session的ID，若是拿到了說明用戶已經登陸，若是沒有拿到，說明用戶未登陸

系統A重定向到認證中心，發送了什麼信息或者地址變成了什麼

假如系統A的地址爲 http://a:8080/，CAS認證中心的服務地址爲http://cas.server:8080/，那麼重定向先後地址變化爲   http://a:8080/------>http://cas.server:8080/?service=http://a:8080/由此可知，重定向到認證中心，認證中心拿到了當前訪問客戶端的地址

登陸成功後，認證中心重定向請求到系統A，認證經過令牌是如何附加發送給系統A的

重定向以後的地址欄變成：http://a:8080/?ticket=ST-XXX-XXXX,票據以ticket爲參數名的方式經過地址欄發送給系統A

系統A驗證令牌，怎樣操做證實用戶登陸的

系統A經過地址欄獲取ticket的參數值ST票據，而後從後臺將ST發送給CAS server認證中心驗證，驗證ST有效後，CAS server返回當前用戶登陸的相關信息，系統A接收到返回的用戶信息，併爲該用戶建立session會話，會話id由cookie維護，來證實其已經登陸

登陸B系統，認證中心是如何判斷用戶已經登陸的

在系統A登陸成功後，用戶和認證中心之間創建起了全局會話，這個全局會話就是TGT(Ticket Granting Ticket)，TGT位於CAS服務器端，TGT並無放在sesssion中，也就是說，CAS全局會話的實現並無直接使用session機制，而是利用cookie本身實現的，這個cookie叫作TGC(ticket granting cookie)，它存在了TGT的id，保存在用戶瀏覽器器。

用戶發送登陸系統B的請求，首先回去cookie中拿JSESSION，由於系統B並未登陸過，session會話還未建立，JESSION的值是拿不到的，而後請求從新定向到CAS認證中心，CAS認證中心先去用戶瀏覽器中拿TGC，也就是全局會話id，若是存在則表明用戶在認證中心已經登陸，附帶上認證令牌重定向到系統B

登出的過程，各個系統對當前用戶都作了什麼

認證中心清除當前用戶的全局TGT，同時清掉cookie中的TGT的id:TGC

而後是各個客戶端系統，好比系統A，系統B，清除局部會話session，同時清掉cookie中session會話id，jession

 

 

 

系統A登陸流程圖，添加註釋