CAS实现单点登陆SSO执行原理探究

一、登陆信息传递

1.用户首次登陆时流程以下：

1)、用户浏览器访问系统A需登陆受限资源，此时进行登陆检查，发现未登陆，而后进行获取票据操做，发现没有票据。

2)、系统A发现该请求须要登陆，将请求重定向到认证中心，获取全局票据操做，没有，进行登陆。

3)、认证中心呈现登陆页面，用户登陆，登陆成功后，认证中心重定向请求到系统A，并附上认证经过令牌，此时认证中心同时生成了全局票据。

4)、此时再次进行登陆检查，发现未登陆，而后再次获取票据操做，此时能够得到票据(令牌)，系统A与认证中心通讯，验证令牌有效,证实用户已登陆。

5)、系统A将受限资源返给用户。
2.已登陆用户首次访问应用群中系统B时：

1)、浏览器访问另外一应用B需登陆受限资源，此时进行登陆检查，发现未登陆，而后进行获取票据操做，发现没有票据。

2)、系统B发现该请求须要登陆，将请求重定向到认证中心，获取全局票据操做，获取全局票据，能够得到，认证中心发现已经登陆。

3)、认证中心发放临时票据(令牌)，并携带该令牌重定向到系统B。

4)、此时再次进行登陆检查，发现未登陆，而后再次获取票据操做，此时能够得到票据(令牌)，系统B与认证中心通讯，验证令牌有效,证实用户已登陆。

5)、系统B将受限资源返回给客户端。

二、登陆状态判断

用户到认证中心登陆后，用户和认证中心之间创建起了会话，咱们把这个会话称为全局会话。当用户后续访问系统应用时，咱们不可能每次应用请求都到认证中心去断定是否登陆，这样效率很是低下，这也是单Web应用不须要考虑的。

咱们能够在系统应用和用户浏览器之间创建起局部会话，局部会话保持了客户端与该系统应用的登陆状态，局部会话依附于全局会话存在，全局会话消失，局部会话必须消失。

用户访问应用时，首先判断局部会话是否存在，如存在，即认为是登陆状态，无需再到认证中心去判断。如不存在，就重定向到认证中心判断全局会话是否存在，如存在，按1提到的方式通知该应用，该应用与客户端就创建起它们之间局部会话，下次请求该应用，就不去认证中心验证了。

用户在一个系统登出了，访问其它子系统，也应该是登出状态。要想作到这一点，应用除结束本地局部会话外，还应该通知认证中心该用户登出。

认证中心接到登出通知，便可结束全局会话，同时须要通知全部已创建局部会话的子系统，将它们的局部会话销毁。这样，用户访问其它应用时，都显示已登出状态。

整个登出流程以下：

1)、客户端向应用A发送登出Logout请求。2)、应用A取消本地会话，同时通知认证中心，用户已登出。3)、应用A返回客户端登出请求。4)、认证中心通知全部用户登陆访问的应用，用户已登出。