首页 > 其他分享 >CAS架构与原理简介

CAS架构与原理简介

时间:2024-05-27 09:33:10浏览次数:24  
标签:架构 登录 CAS 简介 用户 会话 Cookie 服务端

1. 会话与Cookie

HTTP是无状态协议,客户端与服务端之间的每次通信都是独立的,而会话机制可以让服务端鉴别每次通讯过程中的客户端是否是同一个,从而保证业务的关联性。 Session是服务器使用一种类似于散列表的结构,用来保存用户会话所需要的信息.Cookie作为浏览器缓存,存储Session ID以达到会话跟踪的目的。

 

 

会话与Cookie缓存

2. CAS介绍

2.1 CAS简介

SSO 单点登录,是企业为了解决在相互信任的系统上实现一次登录的解决方案。SSO将一个企业内部所有域中的用户登录和用户帐号管理集中到一起,SSO的好处显而易见:

  • 减少用户在不同系统中登录耗费的时间,减少用户登录出错的可能性;
  • 实现安全的同时避免了处理和保存多套系统用户的认证信息;
  • 减少了系统管理员增加、删除用户和修改用户权限的时间;
  • 增加了安全性:系统管理员有了更好的方法管理用户,包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限。

CAS是SSO解决方案里面比较成熟的架构,是耶鲁大学发起的一个开源架构,其旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:

  • 开源的企业级单点登录解决方案。
  • CAS Server 为需要独立部署的 Web 应用。
  • CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

下图是 CAS 最基本的协议过程:

 

 

CAS协议过程
  1. 访问服务:SSO客户端发送请求访问应用系统提供的服务资源。
  2. 重定向认证:SSO客户端会重定向用户请求到SSO服务器。
  3. 用户验证:用户身份认证。
  4. 生成票据:SSO服务器会产生一个随机的Service Ticket。
  5. 验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
  6. 传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。

2.2 CAS架构

 

 

CAS架构

CAS架构包括两部分:CAS Server和CAS Client。

  • CAS Server 需要独立部署,主要负责对用户的认证工作;
  • CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。

2.3 CAS基本流程

 

 

CAS基于Cookie单点登录的实现流程
  • 用户在单点登录服务器的登录页面中,输入用户名和密码。
  • 然后单点登录服务器会对用户名和密码进行认证。认证本身并不是单点登录服务器的功能,因此,通常会引入某种认证机制。认证机制可以有很多种,例如自己写一个认证程序,或者使用一些标准的认证方法,例如LDAP或者数据库等等。在大多数情况下,会使用LDAP进行认证。这是因为LDAP在处理用户登录方面,有很多独特的优势,这在本文的后面还会比较详细地进行介绍。
  • 认证通过之后,单点登录服务器会和应用程序进行一个比较复杂的交互,这通常是某种授权机制。CAS使用的是所谓的Ticket。具体这点后面还会介绍。
  • 授权完成后,CAS把页面重定向,回到Web应用。Web应用此时就完成了成功的登录(当然这也是单点登录的客户端,根据返回的Ticket信息进行判断成功的)。
  • 然后单点登录服务器会在客户端创建一个Cookie。注意,是在用户的客户端,而不是服务端创建一个Cookie。这个Cookie是一个加密的Cookie,其中保存了用户登录的信息。
  • 如果用户此时希望进入其他Web应用程序,则安装在这些应用程序中的单点登录客户端,首先仍然会重定向到CAS服务器。不过此时CAS服务器不再要求用户输入用户名和密码,而是首先自动寻找Cookie,根据Cookie中保存的信息,进行登录。登录之后,CAS重定向回到用户的应用程序。

2.4 CAS应用交互详解

以下是CAS应用之间交互过程的详细时序图与说明。

 

 

CAS基于Cookie单点登录的实现流程
  • 浏览器与APP01服务端

    • 浏览器第一次访问受保护的APP01服务端,由于未经授权而被拦截并重定向到CAS服务端。
    • 浏览器第一次与CAS服务端通讯,鉴权成功后由CAS服务端创建全局会话SSO会话,生成全局会话标识TGT并存在浏览器Cookie中。
    • 浏览器重定向到APP01,重写URL地址带上全局会话标识TGT。
    • APP01拿到全局会话标识TGT后向CAS服务端请求校验,若校验成功,则APP01会获取到已经登录的用户信息。
    • APP01创建局部会话Session,并将SessionID存储到浏览器Cookie中。
    • 浏览器与APP01建立会话。
  • 浏览器与APP02服务端

    • 浏览器第一次访问受保护的APP02服务端,由于未经授权而被拦截并重定向到CAS服务端。
    • 浏览器第二次与CAS服务端通讯,CAS校验Cookie中的全局会话标识TGT。
    • 浏览器重定向到APP02,重写URL地址带上全局会话标识TGT。
    • APP02 拿到全局会话标识 TGT 后向CAS服务端请求校验,若校验成功,则APP02 会获取到已经登录的用户信息。
    • APP02 创建局部会话 Session,并将 SessionID 存储到浏览器 Cookie 中。
    • 浏览器与 APP02 建立会话。

标签:架构,登录,CAS,简介,用户,会话,Cookie,服务端
From: https://www.cnblogs.com/lcword/p/18214833

相关文章

  • CAS单点登录原理解析(转载)
       1、基于Cookie的单点登录的回顾    基于Cookie的单点登录核心原理:   将用户名密码加密之后存于Cookie中,之后访问网站时在过滤器(filter)中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。   该方......
  • 模型驱动架构设计方法及应用
    引言模型驱动架构(ModelDrivenArchitecture,MDA)是一种软件开发方法论,它强调使用一系列抽象层次的模型,并利用模型之间的转换来实现从需求到设计、直至代码生成的全过程。MDA的核心思想是在软件开发过程中强调使用一系列抽象层次的模型,并利用模型之间的转换来确保软件架构和......
  • ACL简介
    一、ACL定义与概念ACL即访问控制列表(AccessControlList)。它是一种用来控制对特定资源访问的机制。在网络环境中,ACL用于规定哪些网络流量可以通过,哪些应该被阻止。可以基于源IP地址、目标IP地址、端口号等因素进行设置。在操作系统中,ACL可用于控制对文件、文......
  • 百亿级流量红包系统,如何做架构?(字节面试真题)
    文章很长,且持续更新,建议收藏起来,慢慢读!疯狂创客圈总目录博客园版为您奉上珍贵的学习资源:免费赠送:《尼恩Java面试宝典》持续更新+史上最全+面试必备2000页+面试必备+大厂必备+涨薪必备免费赠送:《尼恩技术圣经+高并发系列PDF》,帮你实现技术自由,完成职业升级,薪......
  • 基于物联网架构的电子小票服务系统
    1.电子小票物联网架构     采用感知层、网络层和应用层的3层物联网体系架构模型,电子小票物联网的架构见图1。 图1电子小票物联网架构     感知层的小票智能硬件能够取代传统的小票打印机,在不改变商家原有收银系统的前提下,采集收音机待打印的购物小票信......
  • Java队列简介
    在现代应用程序开发中,队列是一种常见且强大的数据结构,用于存储和管理待处理的任务序列。结合MySQL数据库,我们可以利用队列实现任务的持久化存储与高效处理。本文将通过四个案例,详细介绍如何在Java中使用队列,并结合MySQL数据库实现数据的存储与检索,涵盖基础队列操作、消息队列......
  • Java项目:基于SSM框架实现的社区服务管理系统分前后台(ssm+B/S架构+源码+数据库+毕业论
    一、项目简介本项目是一套基于SSM框架实现的社区服务管理系统包含:项目源码、数据库脚本等,该项目附带全部源码可作为毕设使用。项目都经过严格调试,eclipse或者idea确保可以运行!该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值二、技术......
  • BookKeeper 介绍(1)--简介
    BookKeeper是一个可扩展、可容错和低延迟的存储服务;本文主要介绍其基本概念及特性。1、基本概念在BookKeeper中:日志的单元是entry(又名record)日志entries流称为ledgers存储ledgers的独立服务器称为bookiesBookKeeper被设计为可靠且能够抵御各种故障。bookie......
  • P1474 [USACO2.3] Money System / [USACO07OCT]Cow Cash G
    有点水,但是细究还是有点意思的题目https://www.luogu.com.cn/problem/P1474一开始的代码:#define_CRT_SECURE_NO_WARNINGS#include<iostream>#include<vector>#include<algorithm>#include<math.h>#include<sstream>#include<string>#include<......
  • [处理器芯片]-2 CPU架构
    CPU有多种架构,例如x86,ARM,RISC-V,不同的架构定义了不同的指令集架构(ISA,InstructionSetArchitecture)。ISA通常包括数据处理指令(数学运算、逻辑运算、比较、移位等)、数据搬运、控制流指令(程序执行地址的跳转);从宏观角度ISA可以分为CISC(复杂指令集计算)和RISC(精简指令集计算)两种不同......