CAS单点登录

一、单点登录是什么？

1.背景介绍：

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

 

技术实现机制：

        当用户第一次访问应用系统的时候，因为还没有登录，会被重定向到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个凭据--ticket；用户在访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket发送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

 

要实现SSO，需要以下主要的功能：

• 所有应用系统共享一个身份认证系统。
  　　统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。

• 所有应用系统能够识别和提取ticket信息
  　　要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。

优点：

1）提高用户的效率。

用户不再被多次登录困扰，也不需要记住多个 ID 和密码。另外，用户忘记密码并求助于支持人员的情况也会减少。

2）提高开发人员的效率。

SSO 为开发人员提供了一个通用的身份验证框架。实际上，如果 SSO 机制是独立的，那么开发人员就完全不需要为身份验证操心。他们可以假设，只要对应用程序的请求附带一个用户名，身份验证就已经完成了。

3）简化管理。

如果应用程序加入了单点登录协议，管理用户帐号的负担就会减轻。简化的程度取决于应用程序，因为 SSO 只处理身份验证。所以，应用程序可能仍然需要设置用户的属性（比如访问特权）。

 

缺点

 

1）不利于重构

因为涉及到的系统很多，要重构必须要兼容所有的系统，可能很耗时。

2） 无人看守桌面

因为只需要登录一次，所有的授权的应用系统都可以访问，可能导致一些很重要的信息泄露。

 

 

从结构上看，CAS包含两个部分：CAS Server 和CAS Client 需要独立部署；

CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到CAS Server。

图1是CAS最基本的协议过程：

CAS Client与受保护的客户端应用部署在一起，一Filter方式保护WEB应用的受保护资源，过滤从

客户端过来的每一个Web请求，同时，CAS Client会分析HTTP请求中是否包含请求Service  Ticket，

如果没有，则说明该用户是没有经过认证的，于是，CAS Client会重定向用户请求到CAS Server。

第三步，用户认证过程，如果用户提供了正确的凭证，CAS Server会产生一个随机的Service Ticket，

然后，缓存该Ticket，并且重定向用户到CAS Client（附带刚才产生的Service Ticket），Service Ticket

是不可伪造的，最后，第五步和第六步是CAS Client和CAS Server 之间完成了一个用户的身份核实，用Ticket

查到Username因为Ticket是CAS Server产生的，因此CAS Server的判断是毋庸置疑的。