Yelu大学研发的CAS(Central Authentication Server)web
下面就以耶鲁大学研发的CAS为分析依据,分析其工做原理。首先看一下最上层的项目部署图:浏览器
部署项目时须要部署一个独立的认证中心(cas.qiandu.com),以及其余N个用户本身的web服务。服务器
认证中心:也就是cas.qiandu.com,即cas-server。用来提供认证服务,由CAS框架提供,用户只须要根据业务实现认证的逻辑便可。cookie
用户web项目:只须要在web.xml中配置几个过滤器,用来保护资源,过滤器也是CAS框架提供了,即cas-client,基本不须要改动能够直接使用。session
一、CAS的详细登陆流程框架
上图是3个登陆场景,分别为:第一次访问www.qiandu.com、第二次访问、以及登陆状态下第一次访问mail.qiandu.com。网站
下面就详细说明上图中每一个数字标号作了什么,以及相关的请求内容,响应内容。编码
1.一、第一次访问www.qiandu.comurl
标号1:用户访问http://www.qiandu.com,通过他的第一个过滤器(cas提供,在web.xml中配置)AuthenticationFilter。3d
过滤器全称:org.jasig.cas.client.authentication.AuthenticationFilter
主要做用:判断是否登陆,若是没有登陆则重定向到认证中心。
标号2:www.qiandu.com发现用户没有登陆,则返回浏览器重定向地址。
首先能够看到咱们请求www.qiandu.com,以后浏览器返回状态码302,而后让浏览器重定向到cas.qiandu.com而且经过get的方式添加参数service,该参数目的是登陆成功以后会要重定向回来,所以须要该参数。而且你会发现,其实server的值就是编码以后的咱们请求www.qiandu.com的地址。
标号3:浏览器接收到重定向以后发起重定向,请求cas.qiandu.com。
标号4:认证中心cas.qiandu.com接收到登陆请求,返回登录页面。
上图就是标号3的请求,以及标号4的响应。请求的URL是标号2返回的URL。以后认证中心就展现登陆的页面,等待用户输入用户名密码。
标号5:用户在cas.qiandu.com的login页面输入用户名密码,提交。
标号6:服务器接收到用户名密码,则验证是否有效,验证逻辑可使用cas-server提供现成的,也能够本身实现。
上图就是标号5的请求,以及标号6的响应了。当cas.qiandu.com即csa-server认证经过以后,会返回给浏览器302,重定向的地址就是Referer中的service参数对应的值。后边并经过get的方式挟带了一个ticket令牌,这个ticket就是ST(数字3处)。同时会在Cookie中设置一个CASTGC,该cookie是网站cas.qiandu.com的cookie,只有访问这个网站才会携带这个cookie过去。
Cookie中的CASTGC:向cookie中添加该值的目的是当下次访问cas.qiandu.com时,浏览器将Cookie中的TGC携带到服务器,服务器根据这个TGC,查找与之对应的TGT。从而判断用户是否登陆过了,是否须要展现登陆页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。
TGT:Ticket Granted Ticket(俗称大令牌,或者说票根,他能够签发ST)
TGC:Ticket Granted Cookie(cookie中的value),存在Cookie中,根据他能够找到TGT。
ST:Service Ticket (小令牌),是TGT生成的,默认是用一次就生效了。也就是上面数字3处的ticket值。
标号7:浏览器从cas.qiandu.com哪里拿到ticket以后,就根据指示重定向到www.qiandu.com,请求的url就是上面返回的url。
标号8:www.qiandu.com在过滤器中会取到ticket的值,而后经过http方式调用cas.qiandu.com验证该ticket是不是有效的。
标号9:cas.qiandu.com接收到ticket以后,验证,验证经过返回结果告诉www.qiandu.com该ticket有效。
标号10:www.qiandu.com接收到cas-server的返回,知道了用户合法,展现相关资源到用户浏览器上。
至此,第一次访问的整个流程结束,其中标号8与标号9的环节是经过代码调用的,并非浏览器发起,因此没有截取到报文。
1.二、第二次访问www.qiandu.com
上面以及访问过一次了,当第二次访问的时候发生了什么呢?
标号11:用户发起请求,访问www.qiandu.com。会通过cas-client,也就是过滤器,由于第一次访问成功以后www.qiandu.com中会在session中记录用户信息,所以这里直接就经过了,不用验证了。
标号12:用户经过权限验证,浏览器返回正常资源。
1.三、访问mail.qiandu.com 同理
二、总结
至此,CAS登陆的整个过程就完毕了,之后有时间总结下如何使用CAS,并运用到项目中。