一、什么是單點(diǎn)登錄？

單點(diǎn)登錄SSO（Single Sign On）說得簡單點(diǎn)就是在一個多系統(tǒng)共存的環(huán)境下，用戶在一處登錄后，就不用在其他系統(tǒng)中登錄，也就是用戶的一次登錄能得到其他所有系統(tǒng)的信任。單點(diǎn)登錄在大型網(wǎng)站里使用得非常頻繁，例如像阿里巴巴這樣的網(wǎng)站，在網(wǎng)站的背后是成百上千的子系統(tǒng)，用戶一次操作或交易可能涉及到幾十個子系統(tǒng)的協(xié)作，如果每個子系統(tǒng)都需要用戶認(rèn)證，不僅用戶會瘋掉，各子系統(tǒng)也會為這種重復(fù)認(rèn)證授權(quán)的邏輯搞瘋掉。

二、何謂CAS

CAS（Central Authentication Service）是耶魯大學(xué)的一個開源項(xiàng)目，旨在為web應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄解決方案。采用CAS最大的是從安全性角度來考慮的，用戶在CAS錄入用戶名和密碼之后通過ticket進(jìn)行認(rèn)證，不會在網(wǎng)上傳輸密碼，保證安全性。

三、CAS中的關(guān)鍵詞理解

ST（Service Ticket）：服務(wù)票據(jù)，服務(wù)的唯一標(biāo)識碼，由TGT生成ST，返回給用戶，接著拿著生成 的ST去訪問service，service又會把ST拿到CAS系統(tǒng)去驗(yàn)證，驗(yàn)證通過后才允許用戶訪問該資源。

TGC（ Ticket Granting Cookie）：CAS系統(tǒng)用來識別用戶身份的憑證。

TGT（Ticket Grangting Ticket）：授權(quán)票據(jù)，獲取這TGT之后才能申請服務(wù)票據(jù)（ST），用戶如果在CAS系統(tǒng)認(rèn)證成功之后，就會生成TGC寫入瀏覽器，同時也生成一個TGT，TGT對象的id就是cookie值。之后每次請求過來通過此cookie來從緩存獲取TGT，就不用提交身份認(rèn)證信息（Credentials）。

Session：各個應(yīng)用系統(tǒng)會創(chuàng)建自己的session表示是否登錄，而這里的每個session都是ST驗(yàn)證通過之后組裝生成的。

四 、基礎(chǔ)模式

SSO訪問流程主要有以下步驟：

用戶首次登錄時流程如下：

1)、用戶瀏覽器訪問系統(tǒng)A需登錄受限資源，此時進(jìn)行登錄檢查，發(fā)現(xiàn)未登錄，然后進(jìn)行獲取票據(jù)操作，發(fā)現(xiàn)沒有票據(jù)。

2)、系統(tǒng)A發(fā)現(xiàn)該請求需要登錄，將請求重定向到認(rèn)證中心，獲取全局票據(jù)操作，沒有，進(jìn)行登錄。

3)、認(rèn)證中心呈現(xiàn)登錄頁面，用戶登錄，登錄成功后，認(rèn)證中心重定向請求到系統(tǒng)A，并附上認(rèn)證通過令牌，此時認(rèn)證中心同時生成了全局票據(jù)。

4)、此時再次進(jìn)行登錄檢查，發(fā)現(xiàn)未登錄，然后再次獲取票據(jù)操作，此時可以獲得票據(jù)(令牌)，系統(tǒng)A與認(rèn)證中心通信，驗(yàn)證令牌有效,證明用戶已登錄。

5)、系統(tǒng)A將受限資源返給用戶。

已登錄用戶首次訪問應(yīng)用群中系統(tǒng)B時：

1)、瀏覽器訪問另一應(yīng)用B需登錄受限資源，此時進(jìn)行登錄檢查，發(fā)現(xiàn)未登錄，然后進(jìn)行獲取票據(jù)操作，發(fā)現(xiàn)沒有票據(jù)。

2)、系統(tǒng)B發(fā)現(xiàn)該請求需要登錄，將請求重定向到認(rèn)證中心，獲取全局票據(jù)操作，獲取全局票據(jù)，可以獲得，認(rèn)證中心發(fā)現(xiàn)已經(jīng)登錄。

3)、認(rèn)證中心發(fā)放臨時票據(jù)(令牌)，并攜帶該令牌重定向到系統(tǒng)B。

4)、此時再次進(jìn)行登錄檢查，發(fā)現(xiàn)未登錄，然后再次獲取票據(jù)操作，此時可以獲得票據(jù)(令牌)，系統(tǒng)B與認(rèn)證中心通信，驗(yàn)證令牌有效,證明用戶已登錄。

5)、系統(tǒng)B將受限資源返回給客戶端。

五、cas登出流程

用戶發(fā)起登出請求動作

APP將登出請求轉(zhuǎn)發(fā)到CAS Server的logou接口

CAS server接受請求后，會檢測用戶的TGC Cookie是否存在，如果存在即銷毀該用戶對應(yīng)的TGT和CAS服務(wù)器的session信息。

CAS Server根據(jù)登錄過的ServerURL向APP發(fā)出登出請求。

APP LogOut Filter會解析這個參數(shù)，取得sessionId，根據(jù)這個Id取得session后，把session刪除，將session中的Service Ticket清除掉。

六、輔助說明

CAS的SSO實(shí)現(xiàn)方式可簡化理解為：1個Cookie和N個Session。CAS Server創(chuàng)建cookie，在所有應(yīng)用認(rèn)證時使用，各應(yīng)用通過創(chuàng)建各自的Session來標(biāo)識用戶是否已登錄。

用戶在一個應(yīng)用驗(yàn)證通過后，以后用戶在同一瀏覽器里訪問此應(yīng)用時，客戶端應(yīng)用中的過濾器會在session里讀取到用戶信息，所以就不會去CAS Server認(rèn)證。如果在此瀏覽器里訪問別的web應(yīng)用時，客戶端應(yīng)用中的過濾器在session里讀取不到用戶信息，就會去CAS Server的login接口認(rèn)證，但這時CAS Server會讀取到瀏覽器傳來的cookie（TGC），所以CAS Server不會要求用戶去登錄頁面登錄，只是會根據(jù)service參數(shù)生成一個Ticket，然后再和web應(yīng)用做一個驗(yàn)證ticket的交互而已。

七、對問題的統(tǒng)一回答

1)、問：系統(tǒng)A是如何發(fā)現(xiàn)該請求需要登錄重定向到認(rèn)證中心的？

答：用戶通過瀏覽器地址欄訪問系統(tǒng)A，系統(tǒng)A(也可以稱為CAS客戶端)去Cookie中拿JSESSION，即在Cookie中維護(hù)的當(dāng)前回話session的id，如果拿到了，說明用戶已經(jīng)登錄，如果未拿到，說明用戶未登錄。

2)、問：系統(tǒng)A重定向到認(rèn)證中心，發(fā)送了什么信息或者地址變成了什么？

答：假如系統(tǒng)A的地址為http://a:8080/，CAS認(rèn)證中心的服務(wù)地址為http://cas.server:8080/，那么重點(diǎn)向前后地址變化為：http://a:8080/————>ttp://cas.server:8080/?service=http://a:8080/，由此可知，重點(diǎn)向到認(rèn)證中心，認(rèn)證中心拿到了當(dāng)前訪問客戶端的地址。

3)、問：登錄成功后，認(rèn)證中心重定向請求到系統(tǒng)A，認(rèn)證通過令牌是如何附加發(fā)送給系統(tǒng)A的？

答：重定向之后的地址欄變成：http://a:8080/?ticket=ST-XXXX-XXX，將票據(jù)以ticket為參數(shù)名的方式通過地址欄發(fā)送給系統(tǒng)A

4)、問：系統(tǒng)A驗(yàn)證令牌，怎樣操作證明用戶登錄的？

答：系統(tǒng)A通過地址欄獲取ticket的參數(shù)值ST票據(jù)，然后從后臺將ST發(fā)送給CAS server認(rèn)證中心驗(yàn)證，驗(yàn)證ST有效后，CAS server返回當(dāng)前用戶登錄的相關(guān)信息，系統(tǒng)A接收到返回的用戶信息，并為該用戶創(chuàng)建session會話，會話id由cookie維護(hù)，來證明其已登錄。

5)、問：登錄B系統(tǒng)，認(rèn)證中心是如何判斷用戶已經(jīng)登錄的？

答：在系統(tǒng)A登錄成功后，用戶和認(rèn)證中心之間建立起了全局會話，這個全局會話就是TGT(Ticket Granting Ticket)，TGT位于CAS服務(wù)器端，TGT并沒有放在Session中，也就是說，CAS全局會話的實(shí)現(xiàn)并沒有直接使用Session機(jī)制，而是利用了Cookie自己實(shí)現(xiàn)的，這個Cookie叫做TGC(Ticket Granting Cookie)，它存放了TGT的id,保存在用戶瀏覽器上。

相關(guān)內(nèi)容分析可以查看：《SSO CAS單點(diǎn)系列》之 實(shí)操！輕松玩轉(zhuǎn)SSO CAS就這么簡單(相識篇)

用戶發(fā)送登錄系統(tǒng)B的請求，首先會去Cookie中拿JSESSION，因?yàn)橄到y(tǒng)B并未登錄過，session會話還未創(chuàng)建，JSESSION的值是拿不到的，然后將請求重定向到CAS認(rèn)證中心，CAS認(rèn)證中心先去用戶瀏覽器中拿TGC的值，也就是全局會話id，如果存在則代表用戶在認(rèn)證中心已經(jīng)登錄，附帶上認(rèn)證令牌重定向到系統(tǒng)B。

上面登錄狀態(tài)判斷也是這個邏輯。

6)、問：登出的過程，各個系統(tǒng)對當(dāng)前用戶都做了什么？

答：認(rèn)證中心清除當(dāng)前用戶的全局會話TGT，同時清掉cookie中TGT的id：TGC；

然后是各個客戶端系統(tǒng)，比如系統(tǒng)A、系統(tǒng)B，清除局部會話session，同時清掉cookie中session會話id：jsession

這篇文章先寫到這里，在下一篇文章我會詳細(xì)寫下搭建cas服務(wù)器和客戶端的步驟