某教育云平台统一登录验证（单点登录）模型图

背景：教育云平台上面集成各种第三方应用，每个第三方应用都相当于一个独立的系统。如果用户登录了教育云平台，就可以直接访问第三方应用，无需再次验证身份。

那第三方应用如何知道用户已经进行了身份验证？在用户点击第三方应用的时候，第三方应用会重定向到CAS Server，如果

CAS Server和教育云平台实际上内部做在一起了。

前提：第三方应用有做统一登录验证功能，才能满足这种模型

1.用户通过浏览器登录教育云平台

2.如果浏览器没登录的cookie，则返回登录界面

3.提交用户名密码

4.教育云平台内部提交到CAS Server验证用户名密码

5.验证成功，在CAS中创建该用户session，并写入浏览器cookie

6.返回教育云平台主页给客户

7.客户点击教育云平台的第三方应用

8.第三方应用重定向浏览器到http://xx:9001/sso ，此时浏览器会带上cookie给CAS Server

9.CAS Server验证cookie发现该用户已经登录过了，于是签发了ticket（票据）返回给浏览器，并重定向到第三方应用

10.第三方应用带着ticket找CAS Server验证

11.返回验证成功

12.返回第三方应用页面给客户

注意：因为用户是域名登录教育云平台，因此第三方应用在第8步跳转到CAS Server必须是域名，不能的是该域名对应的IP，否则浏览器不会认为是同源，导致浏览器不带上cookie给CAS Server，就无法验证成功了。