SSO CAS 单点系列

时间 2019-11-20

原文原文链接

在多系统应用群中，使用，例如，用户帐户管理，用户应该有一个统一的帐户，不该该让用户在每一个子系统分别注册登录再分别登出。这就是咱们所说的单点登录问题，即SSO；php

SSO问题，时大中型web应用常常碰到的问题，是java架构师须要掌握的必备技能之一，中高级以上Web工程师都应该对它有所了解；java

http是一个无状态协议，在此之上实现会话管理，就须要额外的手段，1 带请求参数，侵入性较大，通常不使用，2 使用cookie，服务器经过HTTP响应建立好cookie后，浏览器就接收下来，下次请求会自动携带上返回给服务器，应用这个机制，咱们能够实现应用层的登录会话状态管理。web

例如咱们能够把登录状态保存哎cookie中，这是客户端保存方式。会话信息在客户端，须要维护其安全性、徐娅加密文件、携带量变大，这样会影响http的处理效率，同时cookie的数据携带量也有必定的限制。浏览器

比较好的方式是服务器端的保存，cookie只保存会话信息的句柄，即在登录成功后，服务器端能够建立一个惟一登录会话，并把会话标识ID经过cookie返回给浏览器，浏览器下次访问时会自动带上这个ID，服务器根据ID便可判断是此会话中的请求，从而判断出是该用户，这种操做直到登出销毁会话为止。安全

咱们使用的web应用服务器通常都会提供这种会话基础访问，如Tomcat的Session机制。也就是说，应用开发人员没必要利用cookie亲自代码实现会话的建立维护和销毁等整个生命周期管理，这些内容服务器Seeion已经提供好了，咱们只须要正确使用便可。服务器

1 大中型web应用基本都是多系统组成是应用群，SSO是必须面对的基本问题。cookie

2 Cookie有做用域限制，顶级域名Cookie不能共享，故登录会话不能共享。架构

3 直接改造各子系统共享Session，通用性灵活性不强，或对原系统侵入性大，不是解决SSO根本办法。分布式

当用户访问子系统须要登陆时，咱们把它引到认证中心，让用户到认证中心去登陆认证，认证经过后返回并告知系统用户已登陆。当用户再访问另外一系统应用时，咱们一样引导到认证中心，发现已经登陆过，即返回并告知该用户已登陆

1 登录属于系统安全管理模块一部分，涉及认证创建会话会话状态判断取消会话等操做。

2 剥离各系统认证功能，创建统一独立认证服务中心，是解决SSO问题的正确方法。

3 因为是分布式，处理SSO须要解决认证消息传递问题、登录状态判断问题、登出信息传递问题，保证各应用系统与认证中心之间有效通讯。

1 临时令牌只能使用一次，不呢个长期存在，可使用Redis来实现

2 全局会话和本地会话能够利用web服务器Session，但咱们必须实现根据SeeionId查找seesion的功能。

3 服务器端之间HTTP协议方式的通讯，可使用HttpClient工具模拟浏览器实现。

1 CAS是中央认证服务的简称。目前已成为影响最大、普遍使用的、基于java实现的、开源SSO解决方案

2 CAS分为CAS Server认证中心和CAS Client应用系统链接组件，CAS Client支持java php .NET等多种语言开发系统

3 CAS Server是java Web应用，可部署在Tomcat中。CAS Client是链接组件，集成在须要单点登录的各应用系统中，鉴于登录安全性，实际应用中使用https协议，为调试方便，可修改成支持http。