单点登录全过程说明
單點登錄過程:
?
?
第一次訪問bpmsit.cloudytrace.com? ? ? ??
步驟1:用戶訪問http://bpmsit.cloudytrace.com/ctbpm-web/,經過他的第一個過濾器(cas提供,在web.xml中配置)AuthenticationFilter。
? ? ? 過濾器全稱:org.jasig.cas.client.authentication.AuthenticationFilter
? ? ? 主要作用:判斷是否登錄,如果沒有登錄則重定向到認證中心。
?
步驟2:http://bpmsit.cloudytrace.com/ctbpm-web/發現用戶沒有登錄,則返回瀏覽器重定向地址。
?
? ? ? ? 首先可以看到我們請求http://bpmsit.cloudytrace.com/ctbpm-web/,之后瀏覽器返回狀態碼302,然后讓瀏覽器重定向到http://ssosit.cloudytrace.com并且通過get的方式添加參數service,該參數目的是登錄成功之后會要重定向回來,因此需要該參數。
標號3:瀏覽器接收到重定向之后發起重定向,請求http://ssosit.cloudytrace.com。
標號4:認證中心http://ssosit.cloudytrace.com接收到登錄請求,返回登陸頁面。
上圖就是步驟3的請求,以及步驟4的響應。請求的URL是步驟2返回的URL。之后認證中心就展示登錄的頁面,等待用戶輸入用戶名密碼。
步驟5:用戶在http://ssosit.cloudytrace.com/cas/login?service=http%3A%2F%2Fbpmsit.cloudytrace.com%2Fctbpm-web%2Fsso%2Flogin的login頁面輸入用戶名密碼,提交。
步驟6:服務器接收到用戶名密碼,則驗證是否有效,驗證邏輯可以使用cas-server提供現成的,也可以自己實現。
上圖就是步驟5的請求,以及步驟6的響應。當ssosit.cloudytrace.com即csa-server認證通過之后,會返回給瀏覽器302,重定向的地址就是Referer中的service參數對應的值。后邊并通過get的方式挾帶了一個ticket令牌,這個ticket就是ST(數字3處)。同時會在Cookie中設置一個CASTGC,該cookie是網站ssosit.cloudytrace.com的cookie,只有訪問這個網站才會攜帶這個cookie過去。
? ? ??Cookie中的CASTGC:向cookie中添加該值的目的是當下次訪問ssosit.cloudytrace.com時,瀏覽器將Cookie中的TGC攜帶到服務器,服務器根據這個TGC,查找與之對應的TGT。從而判斷用戶是否登錄過了,是否需要展示登錄頁面。TGT與TGC的關系就像SESSION與Cookie中SESSIONID的關系。
? ? ??TGT:Ticket Granted Ticket(俗稱大令牌,或者說票根,他可以簽發ST)
? ? ??TGC:Ticket Granted Cookie(cookie中的value),存在Cookie中,根據他可以找到TGT。
? ? ??ST:Service Ticket (小令牌),是TGT生成的,默認是用一次就生效了。也就是上面數字3處的ticket值。
標號7:瀏覽器從ssosit.cloudytrace.com那里里拿到ticket之后,就根據指示重定向到http://bpmsit.cloudytrace.com/ctbpm-web/sso/login,請求的url就是上面返回的url。
步驟8:http://bpmsit.cloudytrace.com在過濾器中會取到ticket的值,然后通過http方式調用http://ssosit.cloudytrace.com驗證該ticket是否是有效的。
步驟9:http://ssosit.cloudytrace.com接收到ticket之后,驗證,驗證通過返回結果告訴http://bpmsit.cloudytrace.com該ticket有效。
步驟10:http://bpmsit.cloudytrace.com接收到cas-server的返回,知道了用戶合法,展示相關資源到用戶瀏覽器上。
至此,第一次訪問的整個流程結束,其中步驟8與步驟9的環節是通過代碼調用的,并不是瀏覽器發起,所以沒有截取到報文。
第二次訪問bpmsit.cloudytrace.com?
上面以及訪問過一次了,當第二次訪問的時候發生了什么呢?
步驟11:用戶發起請求,訪問http://bpmsit.cloudytrace.com/ctbpm-web/。會經過cas-client,也就是過濾器,因為第一次訪問成功之后http://bpmsit.cloudytrace.com/ctbpm-web/中會在session中記錄用戶信息,因此這里直接就通過了,不用驗證了。
步驟12:用戶通過權限驗證,瀏覽器返回正常資源。
?
4.3、訪問http://bpmsit.cloudytrace.com/ctbpm-web/
標號13:用戶在http://bpmsit.cloudytrace.com/正常上網,突然想訪問http://esmsit.cloudytrace.com/ctesm-admin/,于是發起訪問http://esmsit.cloudytrace.com/ctesm-admin/的請求。
標號14:http://esmsit.cloudytrace.com/ctesm-admin/接收到請求,發現第一次訪問,于是給他一個重定向的地址,讓他去找認證中心登錄。
上圖可以看到,用戶請求http://esmsit.cloudytrace.com/ctesm-admin/,然后返回給他一個網址,狀態302重定向,service參數就是回來的地址。
步驟15:瀏覽器根據14返回的地址,發起重定向,因為之前訪問過一次了,因此這次會攜帶上次返回的Cookie:TGC到認證中心。
步驟16:認證中心收到請求,發現TGC對應了一個TGT,于是用TGT簽發一個ST,并且返回給瀏覽器,讓他重定向到http://esmsit.cloudytrace.com/ctesm-admin/
可以發現請求的時候是攜帶Cookie:CASTGC的,響應的就是一個地址加上TGT簽發的ST也就是ticket。
步驟17:瀏覽器根據16返回的網址發起重定向。
步驟18:http://esmsit.cloudytrace.com/ctesm-admin/獲取ticket去認證中心驗證是否有效。
?
標號19:認證成功,返回在http://esmsit.cloudytrace.com/ctesm-admin/的session中設置登錄狀態,下次就直接登錄。
標號20:認證成功之后就反正用想要訪問的資源了。
?單點退出過程:
?未完待續!!
本文版權歸作者所有,歡迎轉載,請在文章頁面明顯位置給出原文連接:https://www.cnblogs.com/wynjauu/articles/9360570.html
作者:敲完代碼好睡覺
轉載于:https://www.cnblogs.com/wynjauu/articles/9406446.html
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
- 上一篇: 小程序基于mpvue开发坑一
- 下一篇: OC复习