CAS单点登录原理图

最近忙死了,很久都没写博客了。公司要做SSO应用,有部门有需求希望能够在自己的应用端定义登陆页面,而不是登陆全跳转到CAS统一登陆界面。看了下CAS服务器端源码,还算好懂,于是脱了衣服开始搞。。。。。

这篇主要是介绍修改原理等,如果嫌麻烦,可以跳过这篇直接看实现篇

两个方案,分别支持客户端使用iframe+js和重定向技术进行远程登录,在此先给出重定向技术的方案。

此方案主要是通过页面重定向来实现客户端独立登陆页面

基本原理

首先,在我们修改之间,先了解以下CAS运行基本原理。CAS服务器,客户端(应用),浏览器的序列图如下:

其中:

  • ST:Service Ticket,用于客户端应用持有,每个ST对应一个用户在一个客户端上
  • TGT:Ticket Granting Ticket,存储在CAS服务器端和用户cookie两个地方

CAS服务器持有ST与TGT+客户端的映射关系,客户端持有ST与用户Session的映射关系,在renew的情况下,每次客户端根据用户Session将ST发送给CAS服务器端,服务器端检验ST是否存在即可知道此用户是否已登陆。在普通情况下,用户第一次登陆应用时,客户端将用户页面重定向到CAS服务器,服务器取出用户cookie中的TGT,检验是否在服务器中存在,若存在则生成ST返回给客户端 (若不存在则要求登陆,登陆成功后同样返回ST给客户端),客户端拿到ST后再发送给CAS服务器认证是否为真实ST,认证成功即表示登陆成功

我们可以看到,其实我们需要做的就是第2步中返回的登陆页面由服务器改放到客户端,然后让第3步中由用户在客户端上输入用户名密码但提交到CAS服务器端,登陆成功与失败都将转向客户端。

服务器详细登陆流程

对于上一节讲述的整体登陆流程,CAS 3.3.1服务器端上是依赖于Spring Webflow 1.0.3实现的,其主要流程在/WEB-INF/login-webflow.xml中配置,配置的页面流活动图如下(有删节):

图中命名均按照webflow配置文件中的命名,图解如下:

  • Action State图标表示webflow配置文件中的action-state或view-state节点
  • Decision图标表示webflow配置文件中的decision-state节点
  • Initial State图标表示webflow配置文件中的start-state节点
  • Final State图标表示webflow配置文件中的end-state节点

登陆的流程依照图上说明,在此不再累述,下面简单说明下CAS服务器端Spring Webflow的运作

首先CAS在/WEB-INF/web.xml中配置命名为cas的servlet以拦截输入请求,若不在cas servlet mapping范围内的资源路径请求均转向到/login上:

<servlet>
    <servlet-name>cas</servlet-name>
    <servlet-class>org.jasig.cas.web.init.SafeDispatcherServlet</servlet-class>
    <init-param>
        <param-name>publishContext</param-name>
        <param-value>false</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/login</url-pattern>
</servlet-mapping>
...
<!-- 其他cas servlet mapping -->

所有映射到cas servlet上的请求都将经过/WEB-INF/cas-servlet.xml检查确定进入哪个Action,cas-servlet.xml中最重要的两个bean就是handlerMappingB和handlerMappingC

handlerMappingB配置了登陆流程进入的路径映射,而handlerMappingC则配置了其他的流程的路径映射。/WEB-INF/login-webflow.xml流程配置文件即是在handlerMappingB中通过/login映射进入的。

Webflow依据一个生成的flowExecutionKey来确定一个流程实例走到了哪一步,每次页面流程运转总是需要提交这个flowExecutionKey来告诉webflow它是从流程的哪个位置出发的有了以上理论作为依据,我们在下一节就可以根据自己的需要修改流程,使之支持远程登录了

服务器登陆流程修改目标

修改后的登陆流程活动图如下:

图中橙色为我们修改的流程节点,这里我们增加了一个开始节点remoteLogin和一个结束节点
remoteCallbackView,删除了原有的loginFormView节点、 viewGenericLoginSuccess以及
renew节点(renew节点由于系统无此需求而删除),然后将所有这些节点的转向全部都转向
到remoteCallbackView节点,因为登陆和显示登陆成功信息都应该是客户端完成的

时间: 2024-11-13 06:34:11

CAS单点登录原理图的相关文章

CAS单点登录(SSO)完整教程

CAS单点登录(SSO)完整教程(2012-02-01更新) 一.教程说明 前言 教程目的:从头到尾细细道来单点登录服务器及客户端应用的每个步骤 单点登录(SSO):请看百科解释猛击这里打开 本教程使用的SSO服务器是Yelu大学研发的CAS(Central Authentication Server), 官网:http://www.jasig.org/cas 本教程环境: Tomcat6.0.29 JDK6 CAS Server版本:cas-server-3.4.3.1.cas-server-

CAS单点登录时AJAX页面刷新无反应(302 Moved Temporarily)

最近使用CAS做单点认证服务时发现过大概二十分钟后就发现凡是异步方式刷新页面就无反应了(由于使用EasyUI框架,所以页面刷新基于ajax+div方式),刚开始一直认为是CAS服务端超时的问题,查看了各个配置,网上也参考了许多帖子,一直没有解决,今天无意想起来是不是session过期了呢,因为单点登录客户端没有配置任何session有效时长,也就是说客户端的session时长为tomcat默认时长(网上有人说Tomcat默认session有效期为30分钟,而现在发现的是大概20分钟后就会出现用a

.net cas 单点登录 求助

问题描述 .net cas 单点登录 求助 本人花了一个多星期找资料+测试,还是实现不了这个单点登录功能.请csdn网友出手相助 外部单点登录网址:http://59.41.39.98:808/CAS_Server/login 登录帐号与密码:0166166 123456 功能描述:1.在一个自己开发的网站登录界面,输入帐号密码,实现单点登录. 2.如果1无法实现,那在打开单点登录网址,输入帐号密码登录成功后能返回本网站页面. PS:需要是.net开发的,如果有完整可用的样例源码最好,感谢..

java-关于CAS单点登录的用户认证

问题描述 关于CAS单点登录的用户认证 现有多个系统web1,web2,web3... 用户张三,在web1里用户名密码是user1/123,在web2里用户名密码是zhangsan/456,在web3里用户名密码是abc/789-- 这些多个系统的用户名密码存放在不同数据库中,但是每个数据库里都有"工号"这个字段,且为必填项. 现在将这多个系统用CAS做单点登录,这多个数据库如何通过"工号"这个字段统一? 刚看到的一个思路: 单对多模式:一个用户使用不同凭证登录不

spring-Springsecurity cas单点登录,循环重定向问题

问题描述 Springsecurity cas单点登录,循环重定向问题 最近在弄springsecurity+cas实现单点登录,但配置完成测试,去发现在cas server端登录成功之后,竟出现了循环重定向问题,我springsecurity配置如下: <?xml version="1.0" encoding="UTF-8" ?> <beans xmlns="http://www.springframework.org/schema/b

JAVA CAS单点登录之四:CAS服务器增加JDBC访问能力

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://dba10g.blog.51cto.com/764602/1753680 经过前面说明,已经完成了CAS服务器的搭建,代理客户端的搭建以及普通客户端,back-end-service客户端的搭建.如果不明白的,参照如下链接. JAVA CAS单点登录之一:搭建CAS服务器  JAVA CAS单点登录之二:CAS普通模式1演练 JAVA CAS单点登录之三:CAS代理模式演练  现

java-【急】求大神帮帮忙,CAS单点登录问题,登录成功后controller收不到请求(要哭了)

问题描述 [急]求大神帮帮忙,CAS单点登录问题,登录成功后controller收不到请求(要哭了) 首先说下问题,我们的项目之前SSO单点登录一直用的http的方式, 这一块登录一直都是正常的,现在要切上正式环境了,SSO服务器那边就改用了https的方式SSO配置如下: <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-cla

SpringSecurity+JPA+CAS单点登录

问题描述 SpringSecurity+JPA+CAS单点登录错误信息如下:ERRORContextLoader:220-Contextinitializationfailedorg.springframework.beans.factory.BeanDefinitionStoreException:UnexpectedexceptionparsingXMLdocumentfromServletContextresource[/WEB-INF/classes/applicationContext

JAVA CAS单点登录之三:CAS代理模式演练

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://dba10g.blog.51cto.com/764602/1753244 前言  JAVA CAS单点登录之一:搭建CAS服务器     JAVA CAS单点登录之二:CAS普通模式1演练     代理模式相相对上一节的普通模式,更加复杂了.但配置起来也会稍微有些差别.所谓难者不会,会者不难.如果遇到一个从来没有遇到的问题,解决起来也是非常棘手的,当然解决之后就不是事了.我就遇到