CAS简介

CAS(Central Authentication Service) 是 Yale 大学发起的构建 Web SSO 的 开源项目

SSO 是什么？

SSO－Single Sign On就是 单点登录 也就是 多个网站程序 统一到一个网址进行登录身份验证主要特点是：SSO 应用之间使用 Web 协议 (如HTTPS) ，并且只有一个登录入口。我们所讲的SSO，指 Web SSO 。

SSO 的体系中，有下面三种角色：

User（多个）Web应用（多个）SSO认证中心（一个）

所有的登录都在 SSO 认证中心进行。SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是通过认证的用户。SSO 认证中心和所有的 Web 应用建立一种信任关系。就是能达到 很多不同服务器的或者相同服务器的网站 统一到某个地方登录 如果你是使用同一个浏览器登录的 那么 在这个浏览器再打开其他的网站 这个网站 就不用再登录了

CAS 的结构体系

CAS Server

CAS Server 负责完成对用户信息的认证，需要单独部署，CAS Server 会处理用户名 / 密码等凭证 (Credentials) 。就是 安装在服务器端的一个web程序 目前有耶鲁大学的 也有其它机构开发的，它是复制认证的服务器

CAS Client

CAS Client部署在应用程序中，当有对本地 Web 应用受保护资源的访问请求，并且需要对请求方进行身份认证，重定向到 CAS Server 进行认证。

术语解释

TGT:用来存储登入用户身份的的重要票据，一旦用户成功登入到CAS服务器后，CAS服务器就会生成一个TGT,并存储在CAS服务器端。最为重要的是确保TGT是全局唯一的

TGC:是一个存储TGT的Cookie。当登入到CAS服务器后，CAS会在浏览器中存储它，这样下次登入时传回CAS服务器进行登入验证，只有借助Https传输通道，TGC才会被传回CAS服务器

术语解释

SSO－Single Sign On，单点登录

TGT－Ticket Granting Ticket，用户身份认证凭证票据

ST－Service Ticket，服务许可凭证票据

TGC－Ticket Granting Cookie，存放用户身份认证凭证票据的cookie

Cas原理图

[图片上传失败...(image-368c4d-1612442148293)]

访问服务：SSO 客户端发送请求访问应用系统提供的服务资源。

重定向认证：SSO 客户端会重定向用户请求到 SSO 服务器。

用户认证：用户身份认证。

发放票据：SSO 服务器会产生一个随机的 Service Ticket 。

验证票据：SSO 服务器验证票据 Service Ticket 的合法性，验证通过后，允许客户端访问服务。

传输用户信息：SSO 服务器验证票据通过后，传输用户认证结果信息给客户端。

Cas原理解析

[图片上传失败...(image-63cbb4-1612442148292)]

已登录用户首次访问应用群中系统B时：

1)、浏览器访问另一应用B需登录受限资源，此时进行登录检查，发现未登录，然后进行获取票据操作，发现没有票据。

2)、系统B发现该请求需要登录，将请求重定向到认证中心，获取全局票据操作，获取全局票据，可以获得，认证中心发现已经登录。

3)、认证中心发放临时票据(令牌)，并携带该令牌重定向系统B。

4)、此时再次进行登录检查，发现未登录，然后再次获取票据操作，此时可以获得票据(令牌)，系统B与认证中心通信，验证令牌有效,证明用户已登录。

5)、系统B将受限资源返回给客户端。

CAS详细过程图解

[图片上传失败...(image-e03240-1612442148292)]

希望可以对大家有帮助，喜欢的小伙伴可以帮忙转发+关注，感谢大家！