多系统使用CAS实现SSO登录案例

前面已经讲解过多系统SSO实现的方案:

多系统使用共享session实现SSO登录案例 - 简书 (jianshu.com)

Spring Security实现OAuth2.0——授权服务 - 简书 (jianshu.com)

一、CAS简介

实现SSO有很多种方案,比较简单且可行的一般都是如上两种再加上CAS,一般企业内部多个系统之间如果想实现SSO,比较推荐的方式就是今天要介绍的CAS,Central Authentication Service,中央身份认证服务。

CAS方案主要包含如下两个部分:

  • CAS Server,作为认证服务的中心,需要单独部署;
  • CAS Client,指需要单点登录的各个系统,官方支持10+类型的客户端;

如下是一个多系统完整进行CAS SSO的流程:

SSO登录流程
  1. 浏览器首先访问系统1的时候,系统1判定其未登录(没有局部会话),因此重定向到SSO认证中心,认证中心也没有当前浏览器的全局会话,因此返回登录页面给浏览器要求登录;
  2. 浏览器登录成功后,认证中心会保留该浏览器用户的全局会话,后续该用户再通过其它系统来SSO认证中心认证时,会将全局会话的JSESSIONID带给认证中心,认证中心就能知道该用户目前具有全局会话,是已登录状态;
  3. 认证中心创建一个临时的授权令牌给到系统1,该令牌具有时间有效期,且只能使用一次,系统1收到该令牌后,由于无法判断是否被伪造,因此需要再次请求认证中心校验。得到认证成功回复后,系统1就会给当前用户创建一个局部会话,在该局部会话未过期之前,用户再次访问系统1都不需要再到认证中心进行认证;
  4. 若浏览器用户此时访问其它系统2,系统2判定其未登录(没有局部会话),因此重定向到SSO认证中心,并带上第二步保存的全局会话JSESSIONID,认证中心判定用户已经登录,因此创建一个临时的授权令牌给到系统2,系统2再进行步骤3的内容。

然后是SSO注销的一个流程:

SSO注销流程

二、CAS实现

2.1 CAS Server

服务端在官方github地址上有现成的war包可供使用,直接下载即可,由于最新版本的依赖管理工具已经从maven改为gradle了,本人由于更加熟悉maven,因此没有选择最新版本,而是使用5.3版本。下载之后解压即可。

在解压缩后的目录中执行打包命令build.cmd package,就能在target目录下看到war包了,将该cas.war放在本地的tomcat的webapps目录下,启动tomcat即可。

此时访问本地tomcat服务http://localhost:8080/cas就能看到登录页面了。

CAS Server登录页面

默认的账密为:casuser/Mellon,该密码的配置在如下目录内WEB-INF\classes\application.properties,如需修改密码需要自行修改tomcat中解压后的如下文件内容。

##
# CAS Authentication Credentials
#
cas.authn.accept.users=casuser::Mellon

默认情况下,client端和server端的通信协议是https的,如果想要在本地http协议环境下跑通,就需要关掉该默认的https服务。

在WEB-INF\classes\application.properties的最后添加如下配置内容:
cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

在WEB-INF\classes\services\HTTPSandIMAPS-10000001.json中修改内容:
"serviceId" : "^(https|http|imaps)://.*"

然后重启CAS Server即可。

2.2 CAS Client

<dependency>
    <groupId>net.unicon.cas</groupId>
    <artifactId>cas-client-autoconfig-support</artifactId>
    <version>2.1.0-GA</version>
</dependency>
@EnableCasClient
@SpringBootApplication
public class SsoClient1Application {

    public static void main(String[] args) {
        SpringApplication.run(SsoClient1Application.class, args);
    }

}
@RestController
public class LoginClient1Controller {

    @GetMapping("/getUserInfo")
    public String getUserInfo(){
        return "user1";
    }

}
server.port=8081

cas.server-url-prefix=http://localhost:8080/cas
cas.server-login-url=http://localhost:8080/cas/login
cas.client-host-url=http://localhost:8081
cas.validation-type=cas3

如上是client1的全部内容,client2基本类似,不再赘述。

启动两个客户端之后,访问它们的任意一个接口,都会重定向到CAS Server的登录页面,只要完成一次登录,再访问两个系统的任意接口都可以直接进入,无需再登录了,从而实现了SSO。

那么CAS和我们熟知的OAuth2.0协议有什么区别呢?

  1. OAuth2是三方授权协议,允许用户在不提供账号密码的情况下,通过信任的应用进行授权,使其客户端可以访问权限范围内的资源。

  2. CAS是中央认证服务协议,一个基于票据方式实现 SSO 单点登录的框架,为 Web 应用系统提供一种可靠的单点登录解决方法。

  3. CAS 的单点登录是保障客户端的用户资源的安全 ,而OAuth2 则是保障服务端的用户资源的安全。

CAS 客户端要获取的最终信息是,这个用户到底有没有权限访问我(CAS 客户端)的资源;OAuth2 获取的最终信息是,我(oauth2 服务提供方)的用户的资源到底能不能让你(oauth2 的客户端)访问。

因此,需要统一的账号密码进行身份认证,用 CAS;需要授权第三方服务使用我方资源,使用 OAuth2

最后,CAS不仅支持SSO实现方案中的CAS协议,还支持OAuth2、SAML等协议,具体可以参考官方文档。

参考文档

CAS - Getting Started Guide (apereo.github.io)

基于CAS实现SSO单点登录 - 知乎 (zhihu.com)

Spring Security实现OAuth2.0——授权服务 - 简书 (jianshu.com)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容