單點登錄過程：

?

?

第一次訪問bpmsit.cloudytrace.com? ? ? ?? 　　

步驟1：用戶訪問http://bpmsit.cloudytrace.com/ctbpm-web/，經過他的第一個過濾器（cas提供，在web.xml中配置）AuthenticationFilter。

? ? ? 過濾器全稱：org.jasig.cas.client.authentication.AuthenticationFilter

? ? ? 主要作用：判斷是否登錄，如果沒有登錄則重定向到認證中心。

?

步驟2：http://bpmsit.cloudytrace.com/ctbpm-web/發現用戶沒有登錄，則返回瀏覽器重定向地址。　

?

? ? ? ? 首先可以看到我們請求http://bpmsit.cloudytrace.com/ctbpm-web/，之后瀏覽器返回狀態碼302，然后讓瀏覽器重定向到http://ssosit.cloudytrace.com并且通過get的方式添加參數service，該參數目的是登錄成功之后會要重定向回來，因此需要該參數。

標號3：瀏覽器接收到重定向之后發起重定向，請求http://ssosit.cloudytrace.com。

標號4：認證中心http://ssosit.cloudytrace.com接收到登錄請求，返回登陸頁面。

上圖就是步驟3的請求，以及步驟4的響應。請求的URL是步驟2返回的URL。之后認證中心就展示登錄的頁面，等待用戶輸入用戶名密碼。

步驟5：用戶在http://ssosit.cloudytrace.com/cas/login?service=http%3A%2F%2Fbpmsit.cloudytrace.com%2Fctbpm-web%2Fsso%2Flogin的login頁面輸入用戶名密碼，提交。

步驟6：服務器接收到用戶名密碼，則驗證是否有效，驗證邏輯可以使用cas-server提供現成的，也可以自己實現。

上圖就是步驟5的請求，以及步驟6的響應。當ssosit.cloudytrace.com即csa-server認證通過之后，會返回給瀏覽器302，重定向的地址就是Referer中的service參數對應的值。后邊并通過get的方式挾帶了一個ticket令牌，這個ticket就是ST（數字3處）。同時會在Cookie中設置一個CASTGC，該cookie是網站ssosit.cloudytrace.com的cookie，只有訪問這個網站才會攜帶這個cookie過去。

? ? ??Cookie中的CASTGC：向cookie中添加該值的目的是當下次訪問ssosit.cloudytrace.com時，瀏覽器將Cookie中的TGC攜帶到服務器，服務器根據這個TGC，查找與之對應的TGT。從而判斷用戶是否登錄過了，是否需要展示登錄頁面。TGT與TGC的關系就像SESSION與Cookie中SESSIONID的關系。

? ? ??TGT：Ticket Granted Ticket（俗稱大令牌，或者說票根，他可以簽發ST）

? ? ??TGC：Ticket Granted Cookie（cookie中的value），存在Cookie中，根據他可以找到TGT。

? ? ??ST：Service Ticket （小令牌），是TGT生成的，默認是用一次就生效了。也就是上面數字3處的ticket值。

標號7：瀏覽器從ssosit.cloudytrace.com那里里拿到ticket之后，就根據指示重定向到http://bpmsit.cloudytrace.com/ctbpm-web/sso/login，請求的url就是上面返回的url。

步驟8：http://bpmsit.cloudytrace.com在過濾器中會取到ticket的值，然后通過http方式調用http://ssosit.cloudytrace.com驗證該ticket是否是有效的。

步驟9：http://ssosit.cloudytrace.com接收到ticket之后，驗證，驗證通過返回結果告訴http://bpmsit.cloudytrace.com該ticket有效。

步驟10：http://bpmsit.cloudytrace.com接收到cas-server的返回，知道了用戶合法，展示相關資源到用戶瀏覽器上。

至此，第一次訪問的整個流程結束，其中步驟8與步驟9的環節是通過代碼調用的，并不是瀏覽器發起，所以沒有截取到報文。

第二次訪問bpmsit.cloudytrace.com?

上面以及訪問過一次了，當第二次訪問的時候發生了什么呢？

步驟11：用戶發起請求，訪問http://bpmsit.cloudytrace.com/ctbpm-web/。會經過cas-client，也就是過濾器，因為第一次訪問成功之后http://bpmsit.cloudytrace.com/ctbpm-web/中會在session中記錄用戶信息，因此這里直接就通過了，不用驗證了。

步驟12：用戶通過權限驗證，瀏覽器返回正常資源。

?

　　　　　　　　　　　　　　　　　　

4.3、訪問http://bpmsit.cloudytrace.com/ctbpm-web/

標號13：用戶在http://bpmsit.cloudytrace.com/正常上網，突然想訪問http://esmsit.cloudytrace.com/ctesm-admin/，于是發起訪問http://esmsit.cloudytrace.com/ctesm-admin/的請求。

標號14：http://esmsit.cloudytrace.com/ctesm-admin/接收到請求，發現第一次訪問，于是給他一個重定向的地址，讓他去找認證中心登錄。

上圖可以看到，用戶請求http://esmsit.cloudytrace.com/ctesm-admin/，然后返回給他一個網址，狀態302重定向，service參數就是回來的地址。

步驟15：瀏覽器根據14返回的地址，發起重定向，因為之前訪問過一次了，因此這次會攜帶上次返回的Cookie：TGC到認證中心。

步驟16：認證中心收到請求，發現TGC對應了一個TGT，于是用TGT簽發一個ST，并且返回給瀏覽器，讓他重定向到http://esmsit.cloudytrace.com/ctesm-admin/

可以發現請求的時候是攜帶Cookie：CASTGC的，響應的就是一個地址加上TGT簽發的ST也就是ticket。

步驟17：瀏覽器根據16返回的網址發起重定向。

步驟18：http://esmsit.cloudytrace.com/ctesm-admin/獲取ticket去認證中心驗證是否有效。

?

標號19：認證成功，返回在http://esmsit.cloudytrace.com/ctesm-admin/的session中設置登錄狀態，下次就直接登錄。

標號20：認證成功之后就反正用想要訪問的資源了。

?單點退出過程：

?未完待續！！

本文版權歸作者所有，歡迎轉載，請在文章頁面明顯位置給出原文連接：https://www.cnblogs.com/wynjauu/articles/9360570.html

作者：敲完代碼好睡覺

轉載于:https://www.cnblogs.com/wynjauu/articles/9406446.html

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的单点登录全过程说明的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。