面向读者
需要集成单点登录功能的第三方软件供应商
目的
- 解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。
- 提高用户效率,用户不再被多次登录困扰,也不需要记住多个 ID 和密码。另外,用户忘记密码并求助于支持人员的情况也会减少。
- 简化管理,如果应用程序加入了单点登录协议,管理用户帐号的负担就会减轻。
参考文档
http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/index.html
https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol-Specification.html
cas单点登录简介
CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:
- 开源的企业级单点登录解决方案。
- CAS Server 为需要独立部署的 Web 应用。
- CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
部署架构图#
CAS单点登录流程图#
详细协议参考: https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol-Specification.html
第一次登陆APP1应用
1访问应用app1
用户访问http://127.0.0.1/app1,
此时APP1通过检测session发现用户并没有登录于是重定向到cas-server。
注意:第三方集成需要实现此逻辑
2APP1重定向到cas-server请求登录认证
重定向地址 http://192.168.1.100/cas/login?service=http://127.0.0.1/app1/cas
附带一个service参数告诉cas-server认证成功后再次重定向的地址。
3用户输入用户名密码提交
4认证成功,返回ticket
cas-server接受客户的参数认证成功,并生成一个ticket,重定向给app1,重定向地址
http://127.0.0.1/app1/cas?ticket=XXXXXXX
5校验ticket
对于Java应用来说http://127.0.0.1/app1/cas看起来就是个Servlet或者filter,当这个filter接受到第四步的ticket后,立刻拿着这个ticket去cas-server验证用户认证信息。cas2.0协议中,验证这个ticket的地址为
http://192.168.1.100/cas/serviceValidate,可以使用httpclient或者提供的客户端去调这个接口。
成功会返回
<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">
<cas:authenticationSuccess>
<cas:user>username</cas:user>
<cas:proxyGrantingTicket>PGTIOU-84678-8a9d...</cas:proxyGrantingTicket>
</cas:authenticationSuccess>
</cas:serviceResponse>
失败返回
<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">
<cas:authenticationFailure code="INVALID_TICKET">
Ticket ST-1856339-aA5Yuvrxzpv8Tau1cYQ7 not recognized
</cas:authenticationFailure>
</cas:serviceResponse>
注意:第三方集成需要根据协议流程图实现此filter或者servlet
6返回app1
由于APP1单点信任cas-server,在得到第5步的user信息后,将user信息存入app1的session,或者其他方式标识该用户认证成功。
至此用户登录完成,整个过程app1无法知晓用户的密码,用户名密码由cas-server统一管理。
成功登陆APP1后登陆app2 流程图(免输用户名密码)##
1访问应用app2 http://127.0.0.1/app2
此时APP2通过检测session发现用户并没有登录于是重定向到cas-server
2APP1重定向到cas-server请求登录认证
重定向地址 http://192.168.1.100/cas/login?service=http://127.0.0.1/app1/cas
附带一个service参数告诉cas-server认证成功后重定向的地址。
3判断用户已经登录
cas检测session发现用户已经登录过,于是直接跳转到第四步http://127.0.0.1/app2/cas?ticket=XXXXXXX
,而不是跳转到登录地址,这个过程对用户无感知。
4认证成功返回ticket
5校验ticket
于首次登录流程一致。
6返回app2
在用户这端访问APP2,直接就跳转到了登录后的页面,达到了免输用户名密码的效果,实际上在cas-server做了两次重定向。
接口#
/login,登录##
参数
- service(必须),应用的唯一标识符号,例如
http://127.0.0.1/app1/cas
举例
https://cas.example.org/cas/login?service=http%3A%2F%2Fwww.example.org%2Fservice
/logout,注销登录
调用这个接口,整个单点登录会话结束,其他应用单点登录功能失效。
举例
https://cas.example.org/cas/loout
/serviceValidate,验证ticket是否有效
参数
service(必须),应用的唯一标识符号,例如
http://127.0.0.1/app1/casticket (必须),通过登录获得到的票据
format (可选,xml或者json)指定接口返回的格式
返回
-
成功
<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas"> <cas:authenticationSuccess> <cas:user>username</cas:user> <cas:proxyGrantingTicket>PGTIOU-84678-8a9d...</cas:proxyGrantingTicket> </cas:authenticationSuccess> </cas:serviceResponse>
失败
<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">
<cas:authenticationFailure code="INVALID_TICKET">
Ticket ST-1856339-aA5Yuvrxzpv8Tau1cYQ7 not recognized
</cas:authenticationFailure>
</cas:serviceResponse>
举例
