单点登录与单点登出

一、标准流程描述

CAS官网的标准流程：

SSO标准流程

 

流程描述：

First Access： 

第3步数据走向 第4步数据走向

1. 第一次访问app.example.com（service地址），请求参数中session为空，app service没做过权限认证，所以重定向到CAS认证服务（cas.example.com/cas/login），经过URL编码的service地址作为参数一同传过去；
2. 浏览器接收到重定向请求，跳转到CAS认证服务，因为请求参数中session为空，没有TGT信息，所以该用户没有登陆过。返回CAS的login页面；
3. 用户在login页面提交后，用户名和密码提交到CAS，CAS对用户进行校验，通过之后生成一个TGT，并将它作为CAS的session key。重定向到service地址，参数为CAS提供的ST。
4. 第二次访问app.example.com，这次携带了ST参数。app系统调用CAS的ServiceValidate服务，参数为service地址和ST。CAS通过ST验证，将ST，service地址以及新生成的app系统的局部sessionid存储到CAS数据库中（注销时用到），同时返回一个xml文件，包含了成功标识，认证对象和其他自定义的属性。app系统将ST和认证信息封装到局部session里，sessionid为CAS数据库中刚刚生成的那个。重定向到service地址。
5. 第三次访问app.example.com，这次携带了sessionid。app系统通过session校验，返回请求的资源。

注：第3步和第4步中，CAS给用户提供了ST，用户又拿着ST到CAS进行ServiceValidate鉴权，可能会觉得多此一举。这是为了防止用户伪造ST。app系统并不知道用户访问时携带的ST是否合法（有可能是我们直接在地址栏输入的），所以需要再去CAS里询问一下，该用户是否有效。

Second Access To Same App：

1. 携带session信息访问app系统，和单系统的权限认证模式相同，不需要再经过CAS认证。

First Access To Diff App：

第1步数据走向

1. 第一次访问app2.example.com，未携带局部session信息，重定向到CAS认证服务（cas.example.com/cas/login），经过URL编码的service地址作为参数一同传过去，由于浏览器有CAS的全局session信息（TGT），直接通过CAS的用户校验，之后重定向到service地址，参数为CAS提供的另一个ST，之后的步骤相同。

流程类比：

CAS的login页面相当于大厦的保安处，大厦需要出入证才能进入（CAS session），CAS相当于接待大厅，app和app2相当于具体的部门楼层，需要各自的部门出入证（app session）才能进入。TGT相当于进入大厦的申请单，ST相当于进入部门的申请单。

第一次要去app部门的时候，没有大厦出入证，会被重定向到保安处，填写申请单（TGT），接待大厅判断此人是否是本公司员工，如果是的话将员工的申请单信息录入大厦出入证（CAS session）中，并发给员工。同时将员工进入app部门的申请单（ST）也发给员工。到达app部门时，部门接待处会向接待大厅验证申请单的合法性，确认是合法申请单时接待大厅会对员工信息做登记（存储到CAS数据库），告诉部门接待处已经成功通过验证并登记成功。部门接待处将员工信息录入到部门出入证（app session）中，发给员工。员工拿着部门出入证，进入部门。

第二次要去app部门的时候，如果有部门出入证（app session），可以一路绿灯直接进入。

第一次要去app2部门的时候，由于只有大厦出入证（CAS session），所以需要到接待大厅领取进入app2部门的申请单（ST），再去app2部门申请出入证（app session）。

注：

出入证都是一式两份。接待处一份，员工一份。

任何一方（接待处或员工）的大厦出入证失效后，所有的出入证都必须重新办理。

申请单是有时限的，当申请单过期时，必须重新填写申请单，领取出入证。

 

二、单点登出：

1. 任意系统登出，都会跳转到sso认证中心进行统一登出，通过sessionId找到相应的token，再找到对应需要注销的子系统机器sessionId，跳转到子系统，销毁局部session，
2. 销毁全局session（sso认证中心的session），删除token信息和数据库中的子系统信息，跳转到登录页面

 

参考文献：

单点登录原理与简单实现

最强SSO单点登录教程(三)单点注销流程分析

单点登录（SSO）看这一篇就够了