導(dǎo)讀目錄單點登錄簡介sso&CAS是什么單點登錄適合什么場景單點登錄的三種實現(xiàn)方式CAS的幾個重要知識點CAS的實現(xiàn)過程單點登錄簡介單點登錄(SingleSig....目錄

單點登錄簡介

sso&CAS是什么

單點登錄適合什么場景

單點登錄的三種實現(xiàn)方式

CAS的幾個重要知識點

CAS的實現(xiàn)過程

---

單點登錄簡介

單點登錄(SingleSignOn，SSO)，就是通過用戶的一次性鑒別登錄。當(dāng)用戶在身份認(rèn)證服務(wù)器上登錄一次以后，即可獲得訪問單點登錄系統(tǒng)中其他關(guān)聯(lián)系統(tǒng)和應(yīng)用軟件的權(quán)限，同時這種實現(xiàn)是不需要管理員對用戶的登錄狀態(tài)或其他信息進(jìn)行修改的，這意味著在多個應(yīng)用系統(tǒng)中，用戶只需一次登錄就可以訪問所有相互信任的應(yīng)用系統(tǒng)。這種方式減少了由登錄產(chǎn)生的時間消耗，輔助了用戶管理，是目前比較流行的。

A.傳統(tǒng)登錄流程圖：

B.單點登錄流程圖：

SSO&CAS是什么SSO

SSO是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一， SSO 使得在多個應(yīng)用系統(tǒng)中，用戶只需要 登錄一次 就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

CAS

CAS 是 Yale 大學(xué)發(fā)起的一個企業(yè)級的、開源的項目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點登錄解決方法（SSO的一種框架）

CAS 包括兩部分：CAS Server 和 CAS Client

CAS Server：負(fù)責(zé)完成對用戶的認(rèn)證工作 , 需要獨立部署。

CAS Client：負(fù)責(zé)處理對客戶端受保護(hù)資源的訪問請求，需要對請求方進(jìn)行身份認(rèn)證時，重定向到 CAS Server 進(jìn)行認(rèn)證。

階段匯總集合：一年內(nèi)容，200期Java面試題階段匯總

單點登錄適合什么場景

拿新浪舉個單點登錄的例子

新浪微博與新浪博客是相互信任的應(yīng)用系統(tǒng):

當(dāng)用戶首次訪問新浪微博時，新浪微博識別到用戶未登錄，將請求重定向到認(rèn)證中心，認(rèn)證中心也識別到用戶未登錄，則將請求重定向到登錄頁。

當(dāng)用戶已登錄新浪微博訪問新浪博客時，新浪博客識別到用戶未登錄，將請求重定向到認(rèn)證中心，認(rèn)證中心識別到用戶已登錄，返回用戶的身份，此時用戶無需登錄即可使用新浪博客。

只要多個系統(tǒng)使用同一套單點登錄框架那么它們將是相互信任的。

單點登錄的三種實現(xiàn)方式1.同域SSO

沒有設(shè)置獨立的 SSO 服務(wù)器，因為業(yè)務(wù)后臺服務(wù)器本身就足以承擔(dān) SSO 的職能。

2.同父域SSO

和同域SSO不同在于，服務(wù)器在返回 cookie 的時候，要把cookie 的 domain 設(shè)置為其父域。

3.跨域SSO（CAS）

設(shè)置專門SSO服務(wù)器，當(dāng)兩個產(chǎn)品不同域時，cookie無法共享，從而我們就需要搭建SSO服務(wù)器。

CAS的幾個重要知識點接口：

/login：登錄接口，用于登錄到中心服務(wù)器。/logout：登出接口，用于從中心服務(wù)器登出。

票據(jù)

1. TGT (Ticket Grangting Ticket) :

TGT 是 CAS 為用戶簽發(fā)的登錄票據(jù)，擁有了 TGT，用戶就可以證明自己在 CAS 成功登錄過。TGT 封裝了 Cookie 值以及此 Cookie 值對應(yīng)的用戶信息。

2.TGC(Ticket Granting Cookie) :

CAS Server 生成TGT放入自己的 Session 中，而 TGC 就是這個 Session 的唯一標(biāo)識（SessionId），以 Cookie 形式放到瀏覽器端。

3.ST(service Ticket) :

ST 是 CAS 為用戶簽發(fā)的訪問某一 service 的票據(jù)。用戶訪問 service 時，service 發(fā)現(xiàn)用戶沒有 ST，則要求用戶去 CAS 獲取 ST。

CAS的實現(xiàn)過程跨域SSO（CAS）實現(xiàn)過程

1. 用戶訪問產(chǎn)品 a，域名是 http://www.a.cn。
2. 由于用戶沒有攜帶在 a 服務(wù)器上登錄的 a cookie，所以 a 服務(wù)器重定向到SSO 服務(wù)器的地址。
3. 由于用戶沒有攜帶在 SSO 服務(wù)器上登錄的 TGC，所以 SSO 服務(wù)器判斷用戶未登錄，給用戶顯示統(tǒng)一登錄界面。
4. 登錄成功后，SSO 服務(wù)器構(gòu)建用戶在 SSO 登錄的 TGT，同時返回一個 http 重定向（包含 sso 服務(wù)器派發(fā)的 ST ）。
5. 重定向的 http response 中包含寫 cookie。這個 cookie 代表用戶在 SSO 中的登錄狀態(tài)，它的值是 TGC。
6. 瀏覽器重定向到產(chǎn)品 a。此時重定向的 url 中攜帶著 SSO 服務(wù)器生成的 ST。根據(jù) ST，a 服務(wù)器向 SSO 服務(wù)器發(fā)送請求，SSO 服務(wù)器驗證票據(jù)的有效性。驗證成功后，a 服務(wù)器知道用戶已經(jīng)在 sso 登錄了，于是 a 服務(wù)器構(gòu)建用戶登錄 session。
7. 用戶訪問產(chǎn)品 b，域名是 http://www.b.cn。
8. 由于用戶沒有攜帶在 b 服務(wù)器上登錄的 b cookie，所以 b 服務(wù)器重定向到SSO 服務(wù)器，去詢問用戶在 SSO 中的登錄狀態(tài)。
9. 瀏覽器重定向到 SSO服務(wù)器。由于已經(jīng)向瀏覽器寫入了攜帶 TGC 的cookie，所以此時 SSO 服務(wù)器可以拿到，根據(jù) TGC 去查找 TGT，如果找到，就判斷用戶已經(jīng)在 sso 登錄過了。
10. SSO 服務(wù)器返回一個重定向，重定向攜帶 ST。
11. 瀏覽器帶 ST 重定向到 b 服務(wù)器。
12. b 服務(wù)器根據(jù)票據(jù)向 SSO 服務(wù)器發(fā)送請求，票據(jù)驗證通過后，b 服務(wù)器知道用戶已經(jīng)在 sso 登錄了，于是生成 b session，向瀏覽器寫入 b cookie。

作者：Java面試題精選

鏈接：https://mp.weixin.qq.com/s/Fcd7626X18_hwRRL_T88Og