一、什么是單點登錄
單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
我們目前的系統存在諸多子系統,而這些子系統是分別部署在不同的服務器中,那么使用傳統方式的session和cookie是無法解決的,我們需要使用相關的單點登錄技術來解決。
二、什么是CAS(Central Authentication Server )
CAS 是美國耶魯大學發起的一個開源項目,旨在為 Web 應用系統提供一種可靠的單點登錄方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項目。CAS 具有以下特點:
【1】開源的企業級單點登錄解決方案。
【2】CAS Server 為需要獨立部署的 Web 應用。
【3】CAS Client 支持非常多的客戶端(這里指單點登錄系統中的各個Web 應用),包括Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
從結構上看,CAS 包含兩個部分: CAS Server 和 CAS Client。CAS Server 需要獨立部署,主要負責對用戶的認證工作;CAS Client 負責處理對客戶端受保護資源的訪問請求,需要登錄時,重定向到 CAS Server。
三、SSO單點登錄訪問流程主要有以下步驟:
1. 訪問服務:SSO客戶端發送請求訪問應用系統提供的服務資源。
2. 定向認證:SSO客戶端會重定向用戶請求到SSO服務器。
3. 用戶認證:用戶身份認證。
4. 發放票據:SSO服務器會產生一個隨機的Service Ticket。
5. 驗證票據:SSO服務器驗證票據Service Ticket的合法性,驗證通過后,允許客戶端訪問服務。
6. 傳輸用戶信息:SSO服務器驗證票據通過后,傳輸用戶認證結果信息給客戶端。
舉個例子來解釋下,比如用戶通過瀏覽器先訪問A系統www.a.com/pageA,這個pageA是個需要登錄才能訪問的頁面,A系統發現用戶沒有登錄,這時候系統需要做一件額外的操作,就是重定向到認證中心,www.sso.com/login?redirect=www.a.com/pageA”
什么后面要跟一個redirect的url呢?將來認證通過后,還要重定向到A系統來的。
瀏覽器會用這個www.sso.com/login?redirect=www.a.com/pageA 去訪問認證中心,認證中心校驗如果沒登錄過,認證中心就讓用戶去登錄,登錄成功以后,認證中心要做幾件重要的事情:
1. 建立一個session。
2. 創建一個ticket (可以認為是個隨機字符串)。
3. 然后再重定向到redirect的地址, url 中帶着ticket : www.a.com/pageA?ticket=T123 與此同時cookie也會發給瀏覽器,比如:Set cookie : ssoid=1234, sso.com ”
A系統拿到ticket去認證中心再校驗一次,校驗通過則認為用戶在認證中心已經登錄過了,然后A系統給用戶建立session,返回訪問資源頁面,給用戶瀏覽器發一個cookie,屬於A系統的cookie : Set cookie : sessionid=xxxx, a.com 。
用戶再次訪問A系統的另外一個受保護的頁面www.a.com/pageA1,就不需要再去認證中心認證了,因為已經給用戶瀏覽器發過A系統的cookie , 到時候瀏覽器自然會帶過來,A系統就知道它登錄過了。
如果用戶訪問A系統(www.a.com/pageA)時已經通過認證中心登錄了, 然后再訪問B系統www.b.com/pageB, 會發生什么狀況呢?”
因為瀏覽器已經有了認證中心的cookie,直接發給認證中心注冊就可以了,不需要用戶登錄了。