博客内容
本篇博客简述了单系统登录到多系统单点登录的递进过程;简单概括了CAS协议支持单点登录的过程,详细请参照CAS官方文档
适用于不了解单点登录的同学,对单点登录进行初步学习。
为什么需要单点登录(Single Sign On)
单系统登录机制
为了确保协议的可扩展性,HTTP协议本身不保存任何请求响应报文的信息,即每次HTTP请求响应,都是无状态的。从服务器的角度看,接收到请求后,只需要处理并返回web资源,无法区分请求来自哪个用户,也无法获取不同的两次HTTP请求之间有什么关联。但随着web的不断发展,无状态导致许多业务需求难以实现,比如用户在某个购物网站上登录,网站服务端需要能够区分不同用户的请求。而显然,这样的需求不在HTTP协议考虑的范围之内。
HTTP/1.1虽然是无状态协议,但是为了满足登录的需求,在HTTP中引入了cookie技术,用cookie去管理客户端和服务端之间会话的状态。
简单来说,就是在客户端第一次访问web服务器时,服务器生成并保存的会话信息(session),并将这个会话的标识写入响应报文的响应头中,返回给客户端。以后客户端每次访问该web服务器时,只要带上这个session的标识,web服务器就能找到保存在服务器的,该客户对应的会话信息。
多系统登录机制
客户端的Cookie技术基本能满足单系统登录的需求了,但在企业内部往往有许多系统,如果这些系统的登录模块之间互相毫无关系,用户在使用这些系统的过程中,就需要进行多次登录和注销,并且账号密码可能也不一样。这对用户造成了使用的负担,也增加了系统管理者的维护成本。
不禁让人思考:多个系统,能否共用一个登录模块,只要登录一次,就能访问所有系统?即在一个多系统的应用群中,登录其中一个系统,便可以在其他系统中得到授权而不用重复登录。
理想的单点登录
理想的单点登录机制应该包括以下几个特点:
- 从用户的角度看,使用单点登录进入多个系统时,除了登录模块外,系统的业务和访问速度最好不要收到影响
- 当一个系统加入该单点登录应用群时,迁移应该比较简单。
- 单点登录机制的兼容性和跨平台性良好,可以容纳不同编程语言不同技术的系统
cookie技术不能很好地实现单点登录
单系统登录的核心解决方案是cookie技术,那么cookie技术能否也实现单点登录呢?
Cookie技术的作用是维护浏览器和服务器之间的会话关系。在一个浏览器中,保存着多个cookie,cookie对应各自的服务器。每个Cookie有自己的cookie域,对应服务器的域名,浏览器访问不同的服务器时,会将对应的cookie插入请求报文,而不是所有的cookie。
Cookie的技术特点意味着,如果要用cookie实现单点登录,会有几个局限:
- 各系统的顶级域名需要统一
- 各系统的web容器要相同,否则不能保证cookie的key值是一样的(例如,tomcat的是JSSESIONID)
所以单点登录需要一种更好的实现方式。
CAS实现单点登录
术语定义:
- CAS SERVER: CAS SERVER是一个单独的web系统,专门用于用户的登录校验;颁发ticket给各系统。
- CAS Client: 指的是各应用系统,client是相对于CAS SERVER而言的
Cas协议的内容,简单来说,就是各应用系统将验证用户名密码的工作委托给CAS SERVER,验证通过后,仍然使用HTTP+Cookie技术实现用户在应用系统的登录。
以下是上述过程的简单描述(与下图不是一一对应):1. 当各应用系统接收到未登录状态的请求时,全部重定向到CAS SERVER进行登录。2. 浏览器在CAS SERVER处登录成功,获取CAS SERVER颁发的ticket后,再带着ticket访问应用系统。3. 应用系统接收到携带ticket的请求时,向CAS SERVER求证ticket是否合法:如果合法,CAS SERVER给应用系统返回success和ticket对应的username, 到此,应用系统确认了该用户的身份,并为该用户生成session然后把sessionId和请求的资源一起返回给浏览器;否则回到第1步。
强烈建议研究cas官网的流程图(下图)
看不清请移步:https://apereo.github.io/cas/5.1.x/protocol/CAS-Protocol.html
Cas client源码分析
这里主要分析两个过滤器AuthenticationFilter和TicketValidationFilter
AuthenticationFilter
https://github.com/apereo/java-cas-client
AuthenticationFilter过滤器是用来检查该用户是否需要进行认证,如果需要,那么该请求会被重定向到Cas server。
那么什么样的用户是否需要进行认证呢?
- Request关联的session中,有名为const_cas_assertion的Assertion对象,说明用户已经登录过,直接通过过滤器
- 请求报文中带有名为ticket的参数,进入下一个过滤器检查ticket
public final void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)servletRequest;
HttpServletResponse response = (HttpServletResponse)servletResponse;
//返回与该request关联的session,session不存在则返回null
HttpSession session = request.getSession(false);
//从session中获取名为_const_cas_assertion_的assertion对象,如果存在,说明已经登录。
// cas client向cas server发送HTTP请求,以验证ticket真伪时,如果正确,会返回Assertion对象。
//该Assertion对象被保存在cas client服务器生成的session对象里
Assertion assertion = session != null ? (Assertion)session.getAttribute("_const_cas_assertion_") : null;
//如果Assertion对象不存在,说明没有登录过,直接进入下一个
if (assertion != null) {
filterChain.doFilter(request, response);
} else {
//生成该请求的url
String serviceUrl = this.constructServiceUrl(request, response);
//从请求的URL中获取query参数“ticket”
String ticket = CommonUtils.safeGetParameter(request, this.getArtifactParameterName());
boolean wasGatewayed = this.gatewayStorage.hasGatewayedAlready(request, serviceUrl);
if (!CommonUtils.isNotBlank(ticket) && !wasGatewayed) {
this.log.debug("no ticket and no assertion found");
String modifiedServiceUrl;
if (this.gateway) {
this.log.debug("setting gateway attribute in session");
modifiedServiceUrl = this.gatewayStorage.storeGatewayInformation(request, serviceUrl);
} else {
modifiedServiceUrl = serviceUrl;
}
if (this.log.isDebugEnabled()) {
this.log.debug("Constructed service url: " + modifiedServiceUrl);
}
//拼接重定向的字符串
String urlToRedirectTo = CommonUtils.constructRedirectUrl(this.casServerLoginUrl, this.getServiceParameterName(), modifiedServiceUrl, this.renew, this.gateway);
if (this.log.isDebugEnabled()) {
this.log.debug("redirecting to \"" + urlToRedirectTo + "\"");
}
//重定向到cas server
response.sendRedirect(urlToRedirectTo);
} else {
filterChain.doFilter(request, response);
}
}
}
TicketValidationFilter
TicketValidationFilter负责检查ticket的合法性,并负责为用户创建session,并把Assertion对象保存到session中。
过滤方法继承自AbstractTicketValidationFilter
public final void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
if (this.preFilter(servletRequest, servletResponse, filterChain)) {
HttpServletRequest request = (HttpServletRequest)servletRequest;
HttpServletResponse response = (HttpServletResponse)servletResponse;
//从请求的URL中获取名为ticket的参数
String ticket = CommonUtils.safeGetParameter(request, this.getArtifactParameterName());
if (CommonUtils.isNotBlank(ticket)) {
if (this.log.isDebugEnabled()) {
this.log.debug("Attempting to validate ticket: " + ticket);
}
try {
// validate()方法向Cas server发起HTTP请求,询问ticket是否合法,验证通过返回Assertion对象
Assertion assertion = this.ticketValidator.validate(ticket, this.constructServiceUrl(request, response));
if (this.log.isDebugEnabled()) {
this.log.debug("Successfully authenticated user: " + assertion.getPrincipal().getName());
}
request.setAttribute("_const_cas_assertion_", assertion);
if (this.useSession) {
//把Cas server返回的assertion对象存到session中,参数名为const_cas_assertion_
request.getSession().setAttribute("_const_cas_assertion_", assertion);
}
this.onSuccessfulValidation(request, response, assertion);
if (this.redirectAfterValidation) {
this.log.debug("Redirecting after successful ticket validation.");
//重定向浏览器到应用服务器
response.sendRedirect(this.constructServiceUrl(request, response));
return;
}
} catch (TicketValidationException var8) {
response.setStatus(403);
this.log.warn(var8, var8);
this.onFailedValidation(request, response);
if (this.exceptionOnValidationFailure) {
throw new ServletException(var8);
}
return;
}
}
//已成功登录的用户,通过过滤器
this.wrapUserInfo(servletRequest, servletResponse, filterChain);
}
}
private void wrapUserInfo(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)servletRequest;
HttpSession session = request.getSession(false);
Assertion assertion = (Assertion)((Assertion)(session == null ? request.getAttribute("_const_cas_assertion_") : session.getAttribute("_const_cas_assertion_")));
try {
//把assertion对象保存在AssertionHolder中,AssertionHolder是线程安全的
AssertionHolder.setAssertion(assertion);
//通过过滤器
filterChain.doFilter(servletRequest, servletResponse);
} finally {
AssertionHolder.clear();
}
}
参考资料
cas官网 https://apereo.github.io/cas/5.1.x/protocol/CAS-Protocol.html#
《图解HTTP》
IBM文档 https://www.ibm.com/developerworks/cn/opensource/os-cn-cas/index.html
源码分析:CAS单点登录源码解析之【客户端】 - JMaster的专栏 - CSDN博客
