一、CAS單點登錄
CAS(Central Authentication Service)是一款開源的,支持單點登錄(Single Sign-On,SSO)協議的認證系統。它提供了一個中央認證伺服器,用戶只需要登錄一次,就可以在所有的CAS客戶端應用中獲取登錄信息,實現單點登錄的功能。
二、CAS單點登錄原理解析
CAS單點登錄的原理主要包括:認證原理,ST的生成和校驗,以及TGT的生成和校驗。
1. 認證原理
首先,客戶端訪問伺服器需要登錄時,會將請求重定向到CAS伺服器,CAS伺服器將跳轉到登錄頁面,接收用戶輸入的用戶名和密碼,和登錄成功後想要訪問的客戶端應用地址。
之後CAS伺服器將根據用戶提供的用戶名和密碼進行認證,認證成功後生成TGT(Ticket-Granting Ticket,門票頒發憑證),然後將TGT的ID放在瀏覽器cookie中,並將TGT返回給客戶端。
2. ST的生成和校驗
客戶端重定向回原來的客戶端應用,在請求參數中添加TGT的ID,客戶端應用服務端將TGT的ID和CAS伺服器進行驗證,驗證通過後,CAS伺服器生成一個ST(Service Ticket,服務票據),將ST以請求參數的形式返回給客戶端應用。
之後客戶端應用以ST為參數對CAS伺服器進行請求,CAS伺服器根據ST進行校驗,校驗通過後進行客戶端應用服務的認證,認證通過後返回認證結果,並在客戶端應用的cookie中添加ST。
3. TGT的生成和校驗
當客戶端應用再次訪問其他服務時,會攜帶之前獲取的ST進行訪問,服務端從cookie中獲取ST,將ST和CAS伺服器進行校驗,校驗通過後返回認證結果。
為了提高系統性能,在每個TGT中,會包含許多ST的ID,這些ST通常與同一服務相關聯,如果ST過期了,則可以在TGT的有效期內重新獲取新的ST,無需輸入用戶名和密碼。TGT會在用戶退出登錄或者超時,以及一些其他情況下失效。
三、CAS單點登錄系統
CAS單點登錄系統通常由CAS伺服器、客戶端應用和身份認證源組成。CAS伺服器用於進行用戶的身份認證以及維護TGT和ST,客戶端應用用於接收ST並對CAS伺服器進行校驗,而身份認證源則包括LDAP、資料庫、自定義等,用於驗證用戶提供的用戶名和密碼是否正確。
四、CAS單點登錄原理
CAS單點登錄原理主要依賴於Session和Cookie來實現,CAS伺服器將用戶的登錄數據存儲在Session中,以便客戶端應用的使用。當用戶打開一個需要登錄的客戶端應用時,客戶端應用會先檢查本地是否存在ST(Service Ticket),如果存在則直接進入,如果不存在則重定向到CAS伺服器進行登錄認證。
五、CAS實現單點登錄原理
CAS實現單點登錄可分為以下幾個部分:
1. 配置CAS伺服器
首先需要下載和配置CAS伺服器,包括配置認證源(例如LDAP、資料庫等)、配置服務埠號、配置ST和TGT等相關參數。
2. 集成客戶端應用
配置客戶端應用,將CAS客戶端引入到應用中並配置相關參數,包括CAS伺服器地址、客戶端應用地址、TGCookie的名稱、STCookie的名稱等。
3. 驗證身份認證源
利用身份認證源對用戶提供的用戶名和密碼進行驗證,如果驗證通過則CAS伺服器生成TGT並在瀏覽器中寫入TGCookie,在TGT有效期內,用戶可以訪問其他需要登錄的應用。如果驗證不通過則返回登錄頁面。
六、CAS單點登錄缺點
CAS單點登錄雖然能夠實現在多個應用之間進行登錄驗證,但其仍存在以下幾個缺點:
1. 配置複雜
由於CAS單點登錄涉及到多個應用之間的驗證,因此其配置比較複雜,需要對CAS伺服器和每個客戶端應用進行詳細的配置。
2. 安全性問題
CAS單點登錄在ST和TGT的傳輸過程中存在被劫持攻擊的風險,如果攻擊者獲取ST,就可以冒充合法用戶訪問應用。因此,在實現CAS單點登錄的過程中,需要加強數據傳輸時的安全性。
3. 依賴於CAS伺服器
由於CAS單點登錄的原理依賴於CAS伺服器,因此,如果CAS伺服器出現故障,會影響所有的客戶端應用的正常使用。
七、完整代碼示例
# CAS伺服器端配置 cas.server.name=https://cas.example.com cas.server.prefix=https://cas.example.com/cas cas.service.name=http://localhost:8080/myapp cas.ticket.st.timeout=30s cas.ticket.tgt.timeout=10m #客戶端應用配置 cas.server.name=https://cas.example.com cas.server.prefix=https://cas.example.com/cas cas.client.serviceUrl=http://localhost:8080/myapp cas.client.useSession=true cas.client.redirectUrl=http://localhost:8080/myapp/myappIndex # 登錄認證源配置 cas.authn.ldap[0].type=AUTHENTICATED cas.authn.ldap[0].ldapUrl=ldap://localhost:389 cas.authn.ldap[0].baseDn=ou=people,dc=example,dc=com cas.authn.ldap[0].userFilter=uid=%u cas.authn.ldap[0].bindDn=cn=admin,dc=example,dc=com cas.authn.ldap[0].bindCredential=secret
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/160561.html
微信掃一掃 
支付寶掃一掃 