单点登录简介

单点登录(SingleSignOn，SSO)，就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理，是目前比较流行的。

A.传统登录流程图：

B.单点登录流程图：

SSO&CAS是什么

SSO

SSO是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要 登录一次 就可以访问所有相互信任的应用系统。

CAS

CAS 是 Yale 大学发起的一个企业级的、开源的项目，旨在为 Web 应用系统提供一种可靠的单点登录解决方法（SSO的一种框架）

CAS 包括两部分：CAS Server 和 CAS Client

单点登录适合什么场景

拿新浪举个单点登录的例子：

新浪微博与新浪博客是相互信任的应用系统：

• 当用户首次访问新浪微博时，新浪微博识别到用户未登录，将请求重定向到认证中心，认证中心也识别到用户未登录，则将请求重定向到登录页。
• 当用户已登录新浪微博访问新浪博客时，新浪博客识别到用户未登录，将请求重定向到认证中心，认证中心识别到用户已登录，返回用户的身份，此时用户无需登录即可使用新浪博客。

只要多个系统使用同一套单点登录框架那么它们将是相互信任的。

单点登录的三种实现方式

• 同域名SSO：没有设置独立的 SSO 服务器，因为业务后台服务器本身就足以承担 SSO 的职能。
• 同父域SSO：和同域SSO不同在于，服务器在返回 cookie 的时候，要把cookie 的 domain 设置为其父域。
• 跨域SSO（CAS）：设置专门SSO服务器，当两个产品不同域时，cookie无法共享，从而我们就需要搭建SSO服务器。

CAS的几个重要知识点

接口

/login：登录接口，用于登录到中心服务器。
/logout：登出接口，用于从中心服务器登出。

票据

TGT (Ticket Grangting Ticket) 

TGT 是 CAS 为用户签发的登录票据，拥有了 TGT，用户就可以证明自己在 CAS 成功登录过。TGT 封装了 Cookie 值以及此 Cookie 值对应的用户信息。

TGC(Ticket Granting Cookie) 

CAS Server 生成TGT放入自己的 Session 中，而 TGC 就是这个 Session 的唯一标识（SessionId），以 Cookie 形式放到浏览器端。

ST(Service Ticket) 

ST 是 CAS 为用户签发的访问某一 service 的票据。用户访问 service 时，service 发现用户没有 ST，则要求用户去 CAS 获取 ST。

CAS的实现过程

跨域SSO（CAS）实现过程