CAS最基本的協議過程：

名詞解釋

• Ticket Grangting Ticket(TGT) ：
  TGT是CAS為用戶簽發的登錄票據，擁有了TGT，用戶就可以證明自己在CAS成功登錄過。TGT封裝了Cookie值以及此Cookie值對應的用戶信息。用戶在CAS認證成功后，CAS生成cookie（叫TGC），寫入瀏覽器，同時生成一個TGT對象，放入自己的緩存，TGT對象的ID就是cookie的值。當HTTP再次請求到來時，如果傳過來的有CAS生成的cookie，則CAS以此cookie值為key查詢緩存中有無TGT，如果有的話，則說明用戶之前登錄過，如果沒有，則用戶需要重新登錄。

• Ticket-granting cookie(TGC)：
  存放用戶身份認證憑證的cookie，在瀏覽器和CAS Server間通訊時使用，并且只能基于安全通道傳輸（Https），是CASServer用來明確用戶身份的憑證。

• Service ticket(ST) ：服務票據，服務的惟一標識碼 , 由 CASServer 發出（ Http 傳送），用戶訪問Service時，service發現用戶沒有ST，則要求用戶去CAS獲取ST.用戶向CAS發出獲取ST的請求，CAS發現用戶有TGT，則簽發一個ST，返回給用戶。用戶拿著ST去訪問service，service拿ST去CAS驗證，驗證通過后，允許用戶訪問資源

組成

• CAS 服務端
  CASServer 負責完成對用戶的認證工作 , 需要獨立部署 , CAS Server 會處理用戶名 /密碼等憑證 (Credentials) 。

• CAS 客戶端
  負責處理對客戶端受保護資源的訪問請求，需要對請求方進行身份認證時，重定向到 CAS Server 進行認證。（原則上，客戶端應用不再接受任何的用戶名密碼等 Credentials ）。
  CASClient 與受保護的客戶端應用部署在一起，以 Filter 方式保護受保護的資源。

CAS Web工作流程

CAS登錄流程

步驟 1：瀏覽器向CAS客戶端發起登陸請求，CAS客戶端生成“登陸URL”,并把瀏覽器重定向到該URL 登陸URL:https://${cas-server-host}:${cas-server-port}/cas-server/login?service=${client-service-url}

• 其中
  • cas-server-host: cas認證服務器的域名
  • cas-server-port: cas認證服務器的IP
  • client-service-url: 用于登陸成功后，瀏覽器重定向的URL

java舉例:
https://cas-server.domain.com/cas/login?service=http%3A%2F%2Fcas.domain.com%3A8080

步驟 2: 瀏覽器向“登陸URL”發起重定向請求，CAS服務端創建會話，把TGT（Ticket Granting Ticket）放入cookie，并返回登陸頁面

步驟 3：用戶輸入用戶名和密碼,然后提交登陸表單. CAS服務端通過登陸驗證后，會生成一個ST(service ticket,簡稱ticket), 然后把瀏覽器重定向到${client-service-url}?ticket=${service-ticket}

步驟 4：瀏覽器重定向到${client-service-url}?ticket=${service-ticket}發起重定向請求

java舉例:
http://cas.domain.com/8080?ticket=${service-ticket}

步驟 5: CAS客戶端取出ticket，生成“ticket驗證URL”,然后向"ticket驗證URL"發起http GET請求 "ticket驗證URL":　http://${cas-server-host}:${cas-server-port}/cas-server/serviceValidate?ticket=${service-ticket}&service=${client-service-url}

java舉例:
https://cas-server.domain.com/cas/serviceValidate?ticket=${service-ticket}&service=http://cas.domain.com/8080

步驟 6: 如果CAS服務器通過ticket的有效性檢查，那么會返回類似如下格式的XML片段

<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'>
    <cas:authenticationSuccess> 
        <cas:user>AAAA</cas:user>
    </cas:authenticationSuccess> 
</cas:serviceResponse>

• 其中AAAA是登陸的用戶名

否則返回：

<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'> 
    <cas:authenticationFailure code='XXX'> YYY </cas:authenticationFailure> 
</cas:serviceResponse>

• 其中：
  • XXX的可能取值是INVALID_REQUEST, INVALID_TICKET, INVALID_SERVICE, INTERNAL_ERROR
  • YYY是錯誤描述信息

至此CAS的登陸流程結束

登陸成功后，CAS客戶端應該在會話中保存登陸狀態信息。CAS服務器通常在步驟 6會建立ticket和${client-service-url}的映射關系，以便在登出時通知其業務系統清除緩存中的狀態信息

CAS登出流程

瀏覽器或CAS客戶端向“登出URL”發起GET請求： "登出URL"： https://${cas-server-host}:${cas-server-port}/cas-server/logout CAS服務器銷毀TGT和ST，并向所有已登陸的業務系統發出登出通知請求

java舉例:
https://cas-server.domain.com/cas/logout?service=http://cas.domain.com:8080

<end>

<strike>
請求方法：POST
請求URL: ${client-service-url} ( http://cas.domain.com/8080)
請求頭： Content-Type：application/x-www-form-urlencoded
請求正文：

<!-- lang: xml --> 
logoutRequest=
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="#LR_TICKET_ID#" Version="2.0" IssueInstant="#CURRENT_DATETIME#"> 
    <saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">@NOT_USED@</saml:NameID> 
    <samlp:SessionIndex>#ST#</samlp:SessionIndex> 
</samlp:LogoutRequest>

• 其中
  • LR_TICKET_ID:　　 CAS服務器為每個登出通知請求所生成的一個值
  • ST　　　　　　　　 之前登陸成功后CAS服務端傳回來的Service Ticket
  • CURRENT_DATETIME 發出該請求時，CAS服務器的日期/時間
    </strike>