轉(zhuǎn)載自：http ://www.cnblogs.com/lihuidu/p/6495247.html

1，基于餅干的單點登錄的回顧

基于Cookie的的單點登錄核心原理：

? ? ? 將用戶名密碼加密之后存于餅干中，之后訪問網(wǎng)站時在過濾器（過濾器）中校驗用戶權(quán)限，如果沒有權(quán)限則從曲奇中取出用戶名密碼進行登錄，讓用戶從某種意義上覺得只登錄了一次。

? ? ? 該方式缺點就是多次傳送用戶名密碼，增加被盜風險，以及不能跨域。同時www.qiandu.com與mail.qiandu.com同時擁有登錄邏輯的代碼，如果涉及到修改操作，則需要修改兩處。

?

2，統(tǒng)一認證中心方案原理

? ? ? 在生活中我們也有類似的相關(guān)生活經(jīng)驗，例如你去食堂吃飯，食堂打飯的阿姨（www.qiandu.com）告訴你，不收現(xiàn)金。并且告訴你，你去門口找換票的（護照。 COM）換小票。于是你換完票之后，再去找食堂阿姨，食堂阿姨拿著你的票，問門口換票的，這個票是真的嗎？換票的說，是真的，于是給你打飯了。 ? ? ? 基于上述生活中的場景，我們將基于Cookie的的單點登錄改良以后的方案如下：

? ? ? 經(jīng)過分析，餅干單點登錄認證太過于分散，每個網(wǎng)站都持有一份登陸認證代碼。于是我們將認證統(tǒng)一化，形成一個獨立的服務(wù)。當我們需要登錄操作時，則重定向到統(tǒng)一認證中心http://passport.com于是乎整個流程就如上圖所示：
? ? ? 第一步：用戶訪問www.qiandu.com過濾器判斷用戶是否登錄，沒有登錄，則重定向（302）到網(wǎng)站的HTTP ：//passport.com。
? ? ? 第二步：重定向到passport.com，輸入用戶名密碼.passport.com將用戶登錄的信息記錄到服務(wù)器的會話中。
? ? ? 第三步：passport.com給瀏覽器發(fā)送一個特殊的憑證，瀏覽器將憑證交給www.qiandu.com，www.qiandu.com則拿著瀏覽器交給他的憑證去passport.com驗證憑證是否有效，從而判斷用戶是否登錄成功。
? ? ? 第四步：登錄成功，瀏覽器與網(wǎng)站之間進行正常的訪問。

?

3，Yelu大學研發(fā)的CAS（Central Authentication Server）

。下面就以耶魯大學研發(fā)的CAS為分析依據(jù)，分析其工作原理首先看一下最上層的項目部署圖：

? ? ??

部署項目時需要部署一個獨立的認證中心（cas.qiandu.com），以及其他?個用戶自己的網(wǎng)絡(luò)服務(wù)。

認證中心：也就是cas.qiandu.com，即CAS服務(wù)器用來提供認證服務(wù)，由CAS框架提供，用戶只需要根據(jù)業(yè)務(wù)實現(xiàn)認證的邏輯即可。

用戶的網(wǎng)絡(luò)項目：只需要在web.xml文件中配置幾個過濾器，用來保護資源，過濾器也是CAS框架提供了，即CAS的客戶端，基本不需要改動可以直接使用。

?

如圖4所示，CAS的詳細登錄流程

上圖是3個登錄場景，分別為：第一次訪問www.qiandu.com，第二次訪問，以及登錄狀態(tài)下第一次訪問mail.qiandu.com。

下面就詳細說明上圖中每個數(shù)字標號做了什么，以及相關(guān)的請求內(nèi)容，響應內(nèi)容。

?

4.1，第一次訪問www.qiandu.com

標號1：用戶訪問http://www.qiandu.com，經(jīng)過他的第一個過濾器（CAS提供，在web.xml中中配置）AuthenticationFilter。

? ? ? 過濾器全稱：org.jasig.cas.client.authentication.AuthenticationFilter

? ? ? 主要作用：判斷是否登錄，如果沒有登錄則重定向到認證中心。

標號2：www.qiandu.com發(fā)現(xiàn)用戶沒有登錄，則返回瀏覽器重定向地址。

? ? ??

? ? ? 首先可以看到我們請求www.qiandu.com，之后瀏覽器返回狀態(tài)碼302，然后讓瀏覽器重定向到cas.qiandu.com并且通過GET的方式添加參數(shù)的服務(wù)，該參數(shù)目的是登錄成功之后會要重定向回來，因此需要該參數(shù)。并且你會發(fā)現(xiàn)，其實服務(wù)器的值就是編碼之后的我們請求www.qiandu.com的地址。

標號3：瀏覽器接收到重定向之后發(fā)起重定向，請求cas.qiandu.com。

標號4：認證中心cas.qiandu.com接收到登錄請求，返回登陸頁面。

? ? ??

? ? ? 上圖就是標號3的請求，以及標號4的響應。請求的URL是標號2返回的URL。之后認證中心就展示登錄的頁面，等待用戶輸入用戶名密碼。

標號5：用戶在cas.qiandu.com的登錄頁面輸入用戶名密碼，提交。

標號6：服務(wù)器接收到用戶名密碼，則驗證是否有效，驗證邏輯可以使用CAS-服務(wù)器提供現(xiàn)成的，也可以自己實現(xiàn)。

? ? ??

? ? ? 上圖就是標號5的請求，以及標號6的響應了。當cas.qiandu.com即CSA-服務(wù)器認證通過之后，會返回給瀏覽器302，重定向的地址就是引用站點中的服務(wù)參數(shù)對應的值。后邊并通過GET的方式挾帶了一個票令牌，這個票就是ST（數(shù)字3處）。同時會在餅干中設(shè)置一個CASTGC，該餅干是網(wǎng)站cas.qiandu.com的餅干，只有訪問這個網(wǎng)站才會攜帶這個cookie的過去。

? ? ??餅干中的CASTGC：向餅干中添加該值的目的是當下次訪問cas.qiandu.com時，瀏覽器將餅干中的TGC攜帶到服務(wù)器，服務(wù)器根據(jù)這個TGC，查找與之對應的TGT從而判斷用戶是否登錄過了，是否需要展示登錄頁面.TGT與TGC的關(guān)系就像SESSION與曲奇中SESSIONID的關(guān)系。

? ? ??TGT：Ticket Granted Ticket（俗稱大令牌，或者說票根，他可以簽發(fā)ST）

? ? ??TGC：Ticket Granted Cookie（Cookie中的值），存在Cookie中，根據(jù)他可以找到TGT。

? ? ??ST：Service Ticket（小令牌），是TGT生成的，默認是用一次就生效了。也就是上面數(shù)字3處的票價。

標號7：瀏覽器從cas.qiandu.com哪里拿到票之后，就根據(jù)指示重定向到www.qiandu.com，請求的URL就是上面返回的URL。

? ? ??

標號8：www.qiandu.com在過濾器中會取到票的值，然后通過HTTP方式調(diào)用cas.qiandu.com驗證該票是否是有效的。

標號9：cas.qiandu.com接收到票之后，驗證，驗證通過返回結(jié)果告訴www.qiandu.com該票有效。

標號10：www.qiandu.com接收到CAS-服務(wù)器的返回，知道了用戶合法，展示相關(guān)資源到用戶瀏覽器上。

? ? ??

? ? ? 至此，第一次訪問的整個流程結(jié)束，其中標號8與標號9的環(huán)節(jié)是通過代碼調(diào)用的，并不是瀏覽器發(fā)起，所以沒有截取到報文。

?

4.2，第二次訪問www.qiandu.com

上面以及訪問過一次了，當?shù)诙卧L問的時候發(fā)生了什么呢？

標號11：用戶發(fā)起請求，訪問www.qiandu.com會經(jīng)過CAS的客戶端，也就是過濾器，因為第一次訪問成功之后www.qiandu.com中會在會議中記錄用戶信息，因此這里直接就通過了，不用驗證了。

標號12：用戶通過權(quán)限驗證，瀏覽器返回正常資源。

?

4.3，訪問mail.qiandu.com

標號13：用戶在www.qiandu.com正常上網(wǎng)，突然想訪問mail.qiandu.com，于是發(fā)起訪問mail.qiandu.com的請求。

標號14：mail.qiandu.com接收到請求，發(fā)現(xiàn)第一次訪問，于是給他一個重定向的地址，讓他去找認證中心登錄。

? ? ??

? ? ? 上圖可以看到，用戶請求mail.qiandu.com，然后返回給他一個網(wǎng)址，狀態(tài)302重定向，服務(wù)參數(shù)就是回來的地址。

標號15：瀏覽器根據(jù)14返回的地址，發(fā)起重定向，因為之前訪問過一次了，因此這次會攜帶上次返回的餅干：TGC到認證中心。

標號16：認證中心收到請求，發(fā)現(xiàn)TGC對應了一個TGT，于是用TGT簽發(fā)一個ST，并且返回給瀏覽器，讓他重定向到mail.qiandu.com

? ? ??

? ? ? 可以發(fā)現(xiàn)請求的時候是攜帶餅干：CASTGC的，響應的就是一個地址加上TGT簽發(fā)的ST也就是車票。

標號17：瀏覽器根據(jù)16返回的網(wǎng)址發(fā)起重定向。

標號18：mail.qiandu.com獲取票去認證中心驗證是否有效。

標號19：認證成功，返回在mail.qiandu.com的會話中設(shè)置登錄狀態(tài)，下次就直接登錄。

標號20：認證成功之后就反正用想要訪問的資源了。

? ? ??

總結(jié)

以上是生活随笔為你收集整理的CAS教程-第一篇-CAS单点登录原理解析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。