碼上快樂

相關內容    簡體    繁體

CAS單點登錄原理解析

本文轉載自   查看原文   2019-03-20 17:31   789    Java/ CAS/ 單點登錄/ SSO

CAS單點登錄原理解析

    SSO英文全稱Single Sign On,單點登錄。SSO是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。CAS是一種基於http協議的B/S應用系統單點登錄實現方案,認識CAS之前首先要熟悉http協議、Session與Cookie等Web開發基本知識。

1.http協議

    HTTP是一個客戶端和服務器端請求和應答的標准,我們全后端開發對接的Rest接口就是基於http協議。http協議包含http請求消息(HttpRequest)和http應答消息(HttpResponse)兩部分。參考內容:https://www.cnblogs.com/rayray/p/3729533.html

  • 理解http協議是無狀態協議的含義
  • 熟記常見的http協議狀態碼,其中302等與cas相關
  • 熟記常見的http請求頭,其中Cookie等與cas相關
  • 熟記常見的http應答頭,其中Set-Cookie、Location等與cas相關

2.Session與Cookie會話機制

    http協議本身是無狀態的,但有時候我們需要http請求保持狀態,我們引入Session與Cookie。
Session用在服務端,用於存儲當前所有客戶端需要保持的狀態值,並為每一個客戶端生成一個唯一編碼,然后通過http響應頭Set-Cookie將這個編碼發送給客戶端。

    Cookie用在客戶端,用於記錄后端發來過的唯一編碼,該編碼與服務端上的對應的狀態值對應,在下一次請求的時候通過http請求頭Cookie帶上這個編碼,服務端就能根據這個編碼獲取該客戶端之前記錄的所有狀態值。

 

3.普通登錄

    登錄成功后,在Session中寫入登錄用戶的信息,退出時清空Session中的用戶信息。可以通過filter實現。

4.CAS單點登錄| 兩次前端跳轉、一次后端驗證

4.1首次訪問(訪問第一個應用系統App1)

    CAS首次登錄會經過兩次前端跳轉、一次后端驗證。在應用系統端需要集成CasClient的jar包,把其中的filter配置到站點web.xml中,用於攔截請求、判斷登錄、發起跳轉或發起驗證等。在SSO服務器上部署CasServer的war包,需要配置用戶數據源,根據需求修改登錄頁面。

   第一次前端跳轉:客戶端訪問應用系統,應用系統判斷Session發現未登錄,返回302跳轉到sso登錄頁面,並傳遞service參數給sso,該service參數有兩個作用:

  1. service一般傳遞應用系統url地址,用於sso認證通過后回跳到應用系統;
  2. service參數同時會被cas服務端的作為cas客戶端的唯一標記記錄下來,用於后期匹配相應的認證憑據;

   第二次前端跳轉:瀏覽器顯示登錄頁面,用戶輸入賬號密碼登錄成功后,sso會返回302跳轉回到原來請求的應用系統頁面,並攜帶ticket參數,作為認證票據,同時通過Set-Cookie向瀏覽器記錄TGT,(TGT的作用將在下一個應用系統需要登錄的時候體現出作用,是避免重復登錄的關鍵)

    一次后台驗證:應用系統接收到帶有ticket的請求后,從后台直接向sso服務器發起一個http請求,將service和ticket作為參數,用於驗證ticket的有效性;如果ticket有效,sso服務器將返回該ticket對應的登錄用戶名。

4.2再次訪問(訪問第二個應用系統app2)

    當用戶已經登錄過一個應用系統以后,在同一個瀏覽器上訪問第二個應用系統,根據單點登錄的要求此時不應該再登錄,而是直接進入第二個系統。但是實際上還是需要經過兩次前端跳轉、一次后端驗證,只不過此時的兩次跳轉是連續的,中間不會再出現登陸頁面,用戶感受不到。判斷的依據就是前面第4步通過Set-Cookie保存到客戶端的TGT(Ticket Granted Cookie )。

    相比首次訪問,少了之前的第3步(不需要再出現登錄頁面),因為此時在第二步跳轉時,攜帶了之前保存的TGT,cas服務端通過TGT可以得知用戶信息,因此直接生成ticket返回給應用系統。所以此時是兩次連續的302跳轉,用戶看到的效果就是直接進入第二個應用系統了。

5. 案例講解

5.1 循環跳轉異常案例

    異常現象說明:某項目前后端分開部署出現這樣一個現象,前端映射域名為http://xxx.abc.cn/gl,后端映射域名為http://xxx.abc.cn/gl/rest,單獨訪問后端登錄沒有任何問題,但是訪問前端登陸后界面出現反復跳轉不停刷新的問題。

    異常排查:循環跳轉原理,SSO登錄后返回應用系統,應用系統后台認證獲取用戶信息存入Session,由於某種原因造成Session信息丟失,導致應用系統認為還未登錄,於是又跳轉SSO,此時SSO已經登錄不會再出登陸頁面,直接生成ticket返回應用系統,應用系統Session再次丟失,進入反復跳轉認證的死循環,前端界面表現為不停的刷新。

    因此關鍵問題在於分析Session信息丟失的原因,一般來講有兩種可能:1是系統本身邏輯問題把之前寫入Session的登錄信息清空了,2是兩個站點的cookie作用域相同而相互覆蓋,從而導致后台Session被重置。

    分析發現該項目屬於第二種情況,前后端cookie都在http://xxx.abc.cn/域下面,解決辦法修改cookie作用域或者修改cookie中Jsessionid的命名,防止相互覆蓋。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 CAS實現單點登錄理解 cas單點登錄認證原理 單點登錄CAS框架的原理 CAS原理解析 SSO 基於CAS實現單點登錄 實例解析(二) CAS實現SSO單點登錄原理 CAS單點登錄原理簡單介紹 CAS實現SSO單點登錄原理 采用CAS原理構建單點登錄 單點登錄終極方案之 CAS 應用及原理
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM