cas单点登录和sso，cas单点登录工作原理

《深入解析CAS单点登录（SSO）工作原理》

一、单点登录（SSO）概述

单点登录（Single Sign - On，SSO）是一种身份验证机制，它允许用户使用一组凭据（如用户名和密码）登录到多个相关但独立的应用程序或系统中，在传统的多应用环境中，用户可能需要为每个应用分别登录，这不仅繁琐，而且增加了用户管理的复杂性，而SSO旨在提供一种统一的登录体验，提高用户的效率和便利性，同时也增强了安全性和系统管理的便捷性。

二、CAS（Central Authentication Service）简介

CAS是一种流行的单点登录协议，由耶鲁大学开发并开源，它为实现Web应用的单点登录提供了一个可靠的框架，CAS主要由三个组件组成：

图片来源于网络，如有侵权联系删除

1、CAS Server（认证服务器）

- 这是整个CAS单点登录系统的核心，它负责对用户进行身份验证，当用户尝试访问某个受保护的应用（CAS客户端）时，会被重定向到CAS Server进行登录，CAS Server存储着用户的身份信息，例如用户名和密码（通常存储在数据库或其他身份存储库中），它通过验证用户提供的凭据来确定用户的身份是否合法。

- CAS Server还会生成一个票据（Ticket），这个票据是用户身份验证通过后的一种标识，用于在不同的CAS客户端之间传递用户的身份信息。

2、CAS Client（客户端应用）

- CAS客户端是那些希望集成CAS单点登录功能的Web应用，这些应用将自身的身份验证工作委托给CAS Server，当用户首次访问CAS客户端应用时，客户端应用会检测用户是否已经登录（通过检查是否存在有效的CAS票据），如果没有，它会将用户重定向到CAS Server进行登录。

- CAS客户端应用需要与CAS Server进行通信，以验证从CAS Server接收到的票据的有效性，一旦票据被验证有效，客户端应用就会认为用户已经成功登录，并允许用户访问相应的资源。

3、Service Registry（服务注册中心）

- 服务注册中心用于存储有关CAS客户端应用的信息，CAS Server通过查询服务注册中心来确定某个请求是否来自合法的CAS客户端，这有助于防止恶意应用伪装成合法的CAS客户端来获取用户的身份信息。

三、CAS单点登录工作原理详细步骤

1、用户首次访问CAS客户端应用

- 当用户在浏览器中输入CAS客户端应用的网址时，客户端应用会检查用户是否已经拥有有效的CAS票据（例如TGT - Ticket - Granting Ticket或者ST - Service Ticket），由于是首次访问，用户没有有效的票据，所以客户端应用会将用户重定向到CAS Server的登录页面，这个重定向操作会在请求中包含一些关于客户端应用自身的信息，例如客户端应用的服务标识（Service URL），以便CAS Server在验证成功后知道将用户重定向回哪里。

2、用户在CAS Server登录

- 用户到达CAS Server的登录页面后，输入自己的用户名和密码，CAS Server接收到用户的凭据后，会对其进行验证，验证的方式可以是与本地的用户数据库进行比对（例如查询存储用户名和密码的关系型数据库），也可以是与其他外部的身份验证源（如LDAP - Lightweight Directory Access Protocol服务器）进行集成验证。

图片来源于网络，如有侵权联系删除

- 如果用户的凭据验证通过，CAS Server会创建一个Ticket - Granting Ticket（TGT），TGT是一种长期有效的票据，它代表用户在CAS Server上的登录状态，CAS Server会将TGT存储在自己的内部存储中（通常会设置一个过期时间以确保安全性），CAS Server会生成一个重定向响应，将用户重定向回最初请求的CAS客户端应用，并在重定向的URL中包含一个Service Ticket（ST），这个ST是基于TGT生成的，并且是一次性的，用于特定的CAS客户端应用。

3、用户重定向回CAS客户端应用并验证ST

- 用户的浏览器根据CAS Server的重定向响应，带着ST回到CAS客户端应用，CAS客户端应用接收到ST后，会向CAS Server发送一个验证请求，以确定ST的有效性，这个验证请求中包含了ST以及客户端应用自身的标识等信息。

- CAS Server接收到验证请求后，会根据ST查找对应的TGT，并验证ST是否是基于合法的TGT生成的，以及ST是否已经被使用过（因为ST是一次性的），如果验证通过，CAS Server会向CAS客户端应用返回一个表示验证成功的响应。

- CAS客户端应用接收到验证成功的响应后，就会认为用户已经成功登录，客户端应用可以根据自身的业务逻辑为用户创建一个本地的会话（Session），以便用户在该应用中进行后续的操作，可以在本地会话中存储用户的一些个性化信息，如用户的角色、权限等。

4、后续访问其他CAS客户端应用

- 当用户已经在一个CAS客户端应用中成功登录后，如果用户想要访问另一个CAS客户端应用，过程会相对简单，新的CAS客户端应用同样会检查用户是否已经拥有有效的CAS票据，由于用户已经在CAS Server登录过，并且TGT仍然有效（在其过期时间内），所以CAS Server可以基于TGT为新的CAS客户端应用生成一个新的ST。

- 用户会被重定向到新的CAS客户端应用，并带着新的ST，新的CAS客户端应用按照前面所述的步骤验证ST的有效性，如果验证通过，用户就可以直接访问该应用的资源，而无需再次输入用户名和密码。

四、CAS单点登录的安全性考虑

1、票据的安全性

- TGT是一种相对长期有效的票据，但它存储在CAS Server内部，并且有严格的访问控制，只有CAS Server自身能够根据TGT生成ST，ST是一次性的，并且在验证过程中会被标记为已使用，这防止了ST被多次使用进行非法访问。

- 在票据的传输过程中，通常会使用加密技术（如HTTPS协议）来确保票据信息不被窃取或篡改。

2、身份验证源的安全性

图片来源于网络，如有侵权联系删除

- 如果CAS Server与外部身份验证源（如LDAP）集成，需要确保与外部源的通信安全，可以采用加密的连接方式（如LDAPS - LDAP over SSL/TLS）来保护身份验证数据的传输。

3、防止重放攻击

- CAS通过票据的一次性使用、时间戳等机制来防止重放攻击，ST有一个较短的有效期，并且一旦被验证过就不能再次使用，这就避免了攻击者截获ST并重复使用来获取非法访问权限。

五、CAS单点登录的优势与应用场景

1、优势

- 提高用户体验：用户只需登录一次就可以访问多个应用，减少了登录的繁琐性。

- 简化管理：对于系统管理员来说，管理用户身份信息更加方便，可以在一个地方（CAS Server）对用户进行身份管理，而不需要在每个应用中单独维护用户账户。

- 增强安全性：通过集中的身份验证和严格的票据管理机制，提高了整个系统的安全性。

2、应用场景

- 企业内部的多个业务系统集成：企业内部有办公自动化系统、人力资源管理系统、财务管理系统等，通过CAS单点登录可以让员工使用统一的账号登录到这些不同的系统中。

- 高校的信息系统整合：高校中有教学管理系统、图书馆系统、学生宿舍管理系统等，采用CAS单点登录可以方便师生使用。

CAS单点登录（SSO）通过其独特的架构和工作原理，在提高用户体验、简化管理和增强安全性等方面发挥着重要的作用，广泛应用于各种需要多应用集成和统一身份管理的场景中。

标签： #cas单点登录 #sso #工作原理 #单点登录