CAS协议概念
CAS协议是专门为CAS开发的一种简单而强大的基于票据的协议。
CAS涉及到一个或多个客户端与一个服务端,客户端嵌入CASified应用程序(称为“CAS服务”),而CAS服务器是一个独立组件:
1.CAS服务器负责对用户进行身份验证并授予对应用程序的访问权
2.CAS客户端保护CAS应用程序,并从CAS服务器检索被授予用户的标识。
关键概念:
1.存储在CASTGC cookie中的TGT(票据授予票据)表示用户的一个SSO session。
2.ST(服务票证)作为url中的GET参数传输,表示由CAS服务器为特定用户授予认证应用程序的访问权限。
WEB流程:
1.用户访问目标应用程序,通过浏览器发送GET请求到目标应用
2.目标应用检测到用户未认证,则转发请求到CAS服务端,带上查询参数service,值为目标应用地址。
3.CAS服务端检测用户发现没有SSO session 则返回CAS登录页面。
4.用户在CAS登录页面填写登录表单,提交进行认证。
5.认证成功后CAS服务端创建SSO session,并创建TGT票据到Cookie中 (Set-Cookie:CASTGC=TGT-xxxxxx),并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。
6.目标应用发送请求向CAS服务器验证ST票据,验证成功后目标应用创建用户访问session,并把sessionID放入cookie中。
7.用户访问目标应用通过sessionID获取到session,登陆成功。
8.用户访问其他CAS客户端应用,其他CAS客户端重定向请求到CAS服务器,同步骤2。
9.CAS服务器检测到用户TGT这个cookie,获取到SSO session,直接认证成功,并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。
10.同步骤6,7,成功登陆其他CAS客户端应用。
