CAS 介绍
CAS 是 Central Authentication Service 的缩写,中央认证服务,为 Web 应用系统提供一种可靠的 SSO 解决方案。
CAS 第一次登录系统A
1、用户浏览器访问系统A需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据。
2、系统A发现该请求需要登录,将请求重定向到认证中心,进行登录。
3、认证中心呈现登录页面,登录成功后,认证中心重定向请求到系统A,并附上认证通过令牌,此时认证中心同时生成了全局票据。
4、系统A再次进行登录检查,发现未登录,然后再次获取票据操作,系统A与认证中心通信,验证令牌有效,证明用户已登录。
5、系统A将受限资源返给用户。
CAS 第二次登录系统B
1、浏览器访问另一应用B需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据。
2、系统B发现该请求需要登录,将请求重定向到认证中心,获取全局票据操作,获取全局票据,可以获得,认证中心发现已经登录。
3、认证中心发放临时票据,并携带该令牌重定向到系统B。
4、再次登录检查,发现未登录,获取票据操作,此时可以获得票据,系统B与认证中心通信,验证令牌有效,证明用户已登录。
5、系统B将受限资源返回给客户端。
登录状态判断
用户到认证中心登录后,用户和认证中心之间建立起了会话,我们把这个会话称为全局会话。当用户后续访问系统应用时,我们不可能每次应用请求都到认证中心去判定是否登录,这样效率非常低下,这也是单Web应用不需要考虑的。我们可以在系统应用和用户浏览器之间建立起局部会话,局部会话保持了客户端与该系统应用的登录状态,局部会话依附于全局会话存在,全局会话消失,局部会话必须消失。用户访问应用时,首先判断局部会话是否存在,如存在,即认为是登录状态,无需再到认证中心去判断。如不存在,就重定向到认证中心判断全局会话是否存在。
登出
1、客户端向应用A发送登出 Logout 请求。
2、应用A取消本地会话,同时通知认证中心,用户已登出。
3、应用A返回客户端登出请求。
4、认证中心通知所有用户登录访问的应用,用户已登出,将它们的局部会话全部销毁。