[转]单点登陆SSO学习——CAS协议内容

做者：anmalerhtml

本文转自：http://blog.zhaojunling.me/p/24git

CAS中文文档甚少，这篇文章对CAS接口参数有比较清楚的说明，排版也不错查阅温馨github

在当前互联网产品中使用单点登陆的状况很是的常见，好比Google、百度、阿里云、京东、淘宝等。在用户中心登录后再访问其余子系统时系统自动检测已登陆状态，而不用从新登陆。web

提及单点登陆就不得不说CAS，这个已经成为了单点登陆的代名词。后端

什么是CAS?

CAS是为了解决单点登陆问题所设计的一套协议。协议地址http://jasig.github.io/cas/development/protocol/CAS-Protocol-Specification.html浏览器

逻辑流程图

借用官网的图片：安全

上面是一般使用的单点登陆逻辑图，代理模式的逻辑图点这里查看。服务器

CAS相关URI

/login	负责凭证管理，即用户统一登陆入口，1.0版本提供
/logout	退出的统一入口，1.0版本提供
/validate	服务凭证验证，1.0版本提供，不支持proxy，返回文本字符串yes or no
/serviceValidate	同/validate，2.0版本提供，proxy tickets不能返回验证成功的结果，返回xml字符串
/proxyValidate	同/serviceValidate，2.0版本提供，并提供对proxy tickets的验证，返回xml字符串
/proxy	2.0版本提供，负责提供proxy tickets
/p3/serviceValidate	同/serviceValidate，3.0版本提供，返回的xml结果添加了用户属性字段
/p3/proxyValidate	同/p3/serviceValidate，3.0版本提供，增长对proxy tickets的验证

能够看出，从2.0开始验证结果改为了xml的格式方便扩展，在3.0中增长了用户属性。cookie

/login

功能描述：负责显示登陆页、处理用户登陆、生成登陆凭据。post

参数说明：

service ：可选，访问受保护地址的标识符，基本都是一个web的URL，须要作URLEncode编码。若是不提供则登陆成功后CAS服务器应该显示一个信息告诉用户已登陆。

renew ：可选，忽略已经存在的已登陆凭证，要求用户进行登陆。不能和gateway同时使用。

gateway ：可选，若是未登陆，则不显示登陆页面，直接跳转到service的地址，并添加noticket参数在URL的末尾。不能和renew同时使用。

method ：可选，3.0新增，使用POST的方式发送相应的请求，默认使用302跳转。

请求例子

https://cas.example.org/cas/login?service=http%3A%2F%2Fwww.example.org%2Fservice

Don’t prompt for username/password:

https://cas.example.org/cas/login?service=http%3A%2F%2Fwww.example.org%2Fservice&gateway=true

Always prompt for username/password:

https://cas.example.org/cas/login?service=http%3A%2F%2Fwww.example.org%2Fservice&renew=true

Use POST responses instead of redirects:

https://cas.example.org/cas/login?method=POST&service=http%3A%2F%2Fwww.example.org%2Fservice

后台逻辑

登陆成功：重定向用户到service所提供的URL，并添加参数名为ticket的的service ticket。

登陆失败：在登陆页显示登陆失败的缘由。

/logout

功能描述：销毁以保存的已登陆凭据。

参数说明：

service ：可选，登出成功后跳转的URL地址。

后台逻辑

若是cas server支持SLO，则发送一个POST请求的logout格式xml到全部的cas client，若是cas client不支持则直接忽略这个请求。cas server应该忽略全部发送给cas client的异常状况，以保证cas server的稳定性和可用性。若是cas client支持基于service ticket的SLO，则应该返回一个success的HTTP状态码。

/validate

功能描述：验证service ticket的有效性，返回文本格式。

参数说明：

service ：必选，验证成功后跳转的URL地址。

ticket ：必选，已获取到的service ticket值。

renew ：可选，若是设置则只有当service ticket是用户直接登陆获取时才返回成功，对以前已经存在的凭据无效。

接口响应内容

验证成功：yes

验证结果：no

/serviceValidate

功能描述：验证service ticket的有效性，返回xml格式的结果。

参数说明：

service ：必选，验证成功后跳转的URL地址。

ticket ：必选，已获取到的service ticket值。

renew ：可选，若是设置则只有当service ticket是用户直接登陆获取时才返回成功，对以前已经存在的凭据无效。

pgtUrl ：可选，proxy callback时的URL，在代理流程时候使用。

接口响应内容

验证成功：

<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">

<cas:authenticationSuccess>

<cas:user>username</cas:user>

<cas:proxyGrantingTicket>PGTIOU-84678-8a9d...</cas:proxyGrantingTicket>

</cas:authenticationSuccess>

</cas:serviceResponse>

验证失败：

<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">

<cas:authenticationFailure code="INVALID_TICKET">

Ticket ST-1856339-aA5Yuvrxzpv8Tau1cYQ7 not recognized`

</cas:authenticationFailure>

</cas:serviceResponse>

错误代码：

INVALID_REQUEST	缺乏必须参数。
INVALID_TICKET_SPEC	不知足验证规范的要求。
UNAUTHORIZED_SERVICE_PROXY	未被受权的service。
INVALID_PROXY_CALLBACK	无效的proxy callback。
INVALID_TICKET	无效的ticket，若是设置了renew且ticket不是来自初始登陆则也会被标识为无效。
INVALID_SERVICE	ticket有效，可是相关联的service和当前提供的不匹配，CAS Server须要是销毁当前的ticket并保证一个ticket只会使用一次。
INTERNAL_ERROR	CAS server的内部服务器错误。

另：若是此接口收到的ticket是一个proxy ticket，则不能返回成功的验证结果，应该在验证失败的文本消息中明确提示，如“验证失败，收到的是proxy ticket”。

/proxyValidate

功能描述：参考/serviceValidate，添加了对proxy tickets的验证支持。

接口相应内容

<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">

<cas:authenticationSuccess>

<cas:user>username</cas:user>

<cas:proxyGrantingTicket>PGTIOU-84678-8a9d...</cas:proxyGrantingTicket>

<cas:proxies>

<cas:proxy>https://proxy2/pgtUrl</cas:proxy>

<cas:proxy>https://proxy1/pgtUrl</cas:proxy>

</cas:proxies>

</cas:authenticationSuccess>

</cas:serviceResponse>

/proxy

功能描述：根据以前产生的PGT，获取prox service ticker供/proxyValidate接口交互使用。

参数说明：

pgt ：必选，在/serviceValidate接口中cas server生成的PGT。

targetService ：必选，后端server的地址，须要和下一步验证的/proxyValidate中service相同。

接口相应内容

<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas">

<cas:proxySuccess>

<cas:proxyTicket>PT-1856392-b98xZrQN4p90ASrw96c8</cas:proxyTicket>

</cas:proxySuccess>

</cas:serviceResponse>

/p3/serviceValidate

功能描述：同/serviceValidate，返回xml中增长了user信息的属性。

/p3/proxyValidate

功能描述：同/p3/serviceValidate，增长了对proxy tickets验证的支持。

CAS中涉及的实体说明

service ticket：一个不易被预测的字符串，可做为用户访问service的凭证。

相关要注意的地方

在登陆的接口逻辑中生成，提供的service值不要出如今ticket中。
使用一次后应该当即失效不论是否验证成功，再此使用相同的ticket验证时必须返回验证失败。
应该设置一个合理的有效期，使用过时的ticket验证必须返回验证失败。
建议验证失败时返回验证失败的具体缘由信息。
建议设置的有效期时间不超过5分钟。
必须包含一段随机字符串，以保证不会被猜想到。
必须使用ST-为字符串开头。
必须支持保护32个以上的字符，建议支持到256个字符串的长度。

proxy ticket：一个不易被预测的字符串，可做为访问后端service的凭证。

相关要注意的地方

在/proxy接口中生成，提供的service值不要出如今proxy ticket中。
使用一次后应该当即失效不论是否验证成功，再此使用相同的ticket验证时必须返回验证失败。
应该设置一个合理的有效期，使用过时的ticket验证必须返回验证失败。
建议验证失败时返回验证失败的具体缘由信息。
建议设置的有效期时间不超过5分钟。
必须包含一段随机字符串，以保证不会被猜想到。
必须使用PT-为字符串开头。
后台service必须能接收至少32位长度的字符串的ticket。
建议支持到256个长度字符串的ticket。

proxy-granting ticket：一个不易被预测的字符串，验证service ticket后生成，可用于获取proxy ticket。

相关要注意的地方

可用于获取多个proxy ticket，可屡次数使用而不失效。
当用户从CAS退出时，此ticket必须失效。
必须包含一段随机字符串，以保证在一段时间不会被穷举法所破解。
应该使用PGT-为字符串开头。
须要能够处理超过64位长度的数据。
建议支持到256个长度字符串的数据。

proxy-granting ticket IOU：在/serviceValidate和/proxyValidate接口中返回的一段字符串，用来关联service ticket (或proxy ticket)和proxy-granting ticket。

相关要注意的地方

不该该包含任何与之有关联的PGT信息，必须确认不能从给定的PGTIOU字符串推算出PGT。
必须包含一段随机字符串，以保证在一段时间不会被穷举法所破解。
应该使用PGTIOU-为字符串开头。
必须支持保护32个以上的字符，建议支持到256个字符串的长度。

相关要注意的地方

必须尽量的惟一
必须是一次性有效的，无论登陆成功或者失败。
应该使用LT-为字符串开头。

ticket-granting cookie: 用于确认已登陆状态的标识，保存在用户的浏览器cookie中。

相关要注意的地方

若是未设置Long-Term支持，则过时时间应该设置为当前浏览器的回话时间。
最好设置尽量严格的路径，好比cas server部署到/cas则cookie的path应最好设置为/cas。
尽可能包含一段随机字符串，以保证在一段时间不会被穷举法所破解。
应该使用TGC-做为cookie名称开头。
cookie的值应该和ticket-granting ticket使用相同的规则生成，一般直接使用ticket-granting ticket的值。

ticket and ticket-granting cookie 内容格式

全部的ticket以及ticket-granting cookie仅能包含以下字符：a-z、A-Z、0-九、-(连字符号)。

ticket-granting ticket: 在cas server成功登录后生成的字符串，能够和标识单点登陆状态的ticket-granting cookie绑定，在必定时间内做为基础生成service tickets, proxy-granting tickets 等。

相关要注意的地方

能够用于获取多个service tickets，不是一次性失效的，有过时时间和安全策略。
登出cas的时候必须过时失效。
必须包含一段随机字符串，以保证在一段时间不会被穷举法所破解。
应该使用TGT-做为字符串开头。
当分享给外部资源使用时推荐进行加密，以减小安全漏洞避免泄漏与之关联了的身份认证回话。