CAS的原理分析.ppt

CAS协议分析 CAS1.0 vs.CAS2.0 CAS1.0 　CAS1.0也称为基础模式 　适用场合：参与SSO的应用都为Web应用，且各应用之间相互独立，没有复杂的集成关系。 CAS2.0 　CAS2.0称为代理模式 　适用场合： 参与SSO的应用存在非Web应用（CAS使用Cookie，故非Web应用不宜于直接做CAS的客户应用） 应用之间，存在集成关系。 CAS协议内容 CAS协议定义了一组术语，一组票据，一组接口。 术语：Client、Server、Service、Proxy、Target。 接口：/login、/logout /validate、/serviceValidate、/proxyValidate /proxy 票据：TGT、ST、PGT、PGTIOU、PT Client、CAS Server、Service三者，是通过各种票据 的传递与验证，来实现单点认证功能的。 CAS1.0协议的动画显示 场景介绍： 在本演示中，用户先访问广告合同管理系统ADM，去投 放广告，之后又去资产系统AMS，查看资产信息。 访问ADM时，用户需要先去CAS登录，之后访问AMS时， 就不需再次登录了。 /login?service=http://ams/index.html CASTGC CAS2.0协议的动画显示 场景介绍： 　　 Portal：企业用Portal整合了内部所有系统，员工可以直接登录Portal去查看所有内部系统的信息。 Mail Server：老式C/S结构的邮件服务器。在Portal上线之前，员工只能直接登录Mail Server去管理自己的邮件。 　　　 　　　　　在本演示中，Portal是CAS的Proxy Service， Mail Server是Target Service。Mail Server 需要借助于Portal去登录。 用户登录Portal时，需要去CAS认证，之后在Portal上浏览邮件信息时， Mail Server会请求Portal为其申请PT，然后用PT去CAS验证，验证通过后， 才会返回邮件信息，这个过程，无需用户再次登录。 Ticket Grangting Ticket 。TGT是CAS为用户签发的登录票据，拥有了TGT，用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。当HTTP请求到来时，CAS以此Cookie值为key查询缓存中有无TGT ，如果有的话，则相信用户已登录过。 Service Ticket 。ST是CAS为用户签发的访问某一service的票据。用户访问service时，service发现用户没有ST，则要求用户去CAS获取ST。用户向CAS发出获取ST的请求，CAS发现用户有TGT，则签发一个ST，返回给用户。用户拿着ST去访问service，service拿ST去CAS验证，验证通过后，允许用户访问资源。 Proxy TicketGranting Ticket。Proxy Service认证成功后，CAS会生成PGT，并将值回传给Proxy Service 。Proxy Service拿到PGT后，就可以为Target Service做代理，为其申请PT。 Proxy TicketGranting Ticket IOU。PGTIOU是CAS协议中定义的一种附加票据，它增强了传输、获取PGT的安全性。 Proxy Ticket。PT是用户访问Target Serivce的票据。用户经由Proxy Service去CAS获取到PT后，再访问Target Serivce，Target Serivce去CAS验证PT成功后，才允许用户访问。 CAS ADM AMS 终端 早晨第一件事，登录ADM，投放广告！ http://adm/index.html 哈哈，第一次来，我给你redirect到CAS去！ redirect /login?service=http://adm/index.html 没有传cookie过来？那去登录页面登录吧！ 用户名/密码 电话密保 ok，认证成功，我生成Cookie、TGT、ST，TGT我保存，Cookie,ST返回到浏览器,浏览器可以用ST访问ADM了。 写Cookie到浏览器 redirect ST http://adm/index.html?ticket= ST-1-qRPh34B1xhe4dquzz 好，收到ST了，我去CAS验证一下 service=http://adm/index.html ticket=S