基于Redis缓存的单点登录SSO
术语
CAS系统中一般涉及多种票据,以及相关术语,以下详细介绍介绍。
Ticket-granting cookie(TGC):存放用户身份认证凭证的cookie,在浏览器和CAS Server间通讯时使用,并且只能基于安全通道传输(Https),是CAS Server用来明确用户身份的凭证;Service ticket(ST):服务票据,服务的惟一标识码,由CAS Server发出(Http传送),ST是CAS为用户签发的访问某service的票据。用户访问service时,service发现用户没有ST,则要求用户去CAS获取ST。用户向CAS发出获取ST的请求,如果用户的请求中包含cookie,则CAS会以此cookie值为key查询缓存中有无TGT,如果存在TGT,则用此TGT签发一个ST,返回给用户。用户凭借ST去访问service,service拿ST去CAS验证,验证通过后,允许用户访问资源。一个特定的服务只能有一个惟一的ST;Proxy-Granting ticket(PGT):Proxy Service的代理凭据。用户通过CAS成功登录某一Proxy Service后,CAS生成一个PGT对象,缓存在CAS本地,同时将PGT的值(一个UUID字符串)回传给Proxy Service,并保存在Proxy Service里。Proxy Service拿到PGT后,就可以为Target Service(back-end service)做代理,为其申请PT。Proxy-Granting Ticket I Owe You(PGTIOU): PGTIOU是CAS协议中定义的一种附加票据,它增强了传输、获取PGT的安全性。PGT的传输与获取的过程:Proxy Service调用CAS的serviceValidate接口验证ST成功后,CAS首先会访问pgtUrl指向的https url,将生成的PGT及PGTIOU传输给proxy service,proxy service会以PGTIOU为key,PGT为value,将其存储在Map中;然后CAS会生成验证ST成功的xml消息,返回给Proxy Service,xml消息中含有PGTIOU,proxy service收到Xml消息后,会从中解析出PGTIOU的值,然后以其为key,在map中找出PGT的值,赋值给代表用户信息的Assertion对象的pgtId,同时在map中将其删除。Proxy Ticket (PT):PT是用户访问Target Service(back-end service)的票据。如果用户访问的是一个Web应用,则Web应用会要求浏览器提供ST,浏览器就会用cookie去CAS获取一个ST,然后就可以访问这个Web应用了。如果用户访问的不是一个Web应用,而是一个C/S结构的应用,因为C/S结构的应用得不到cookie,所以用户不能自己去CAS获取ST,而是通过访问proxy service的接口,凭借proxy service的PGT去获取一个PT,然后才能访问到此应用。
其它说明如下:
Ticket Granting ticket(TGT):TGT是CAS为用户签发的登录票据,拥有TGT,用户就可以证明自己在CAS成功登录过。TGT封装Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。当HTTP再次请求到来时,如果传过来的有CAS生成的cookie,则CAS以此cookie值为key查询缓存中有无TGT ,如果有的话,则说明用户之前登录过,如果没有,则用户需要重新登录。Authentication service(AS):认证用服务,索取Credentials,发放TGT;Ticket-granting service (TGS):票据授权服务,索取TGT,发放ST;KDC( Key Distribution Center ):密钥发放中心;
CAS 基本原理
结构体系
从结构体系看, CAS 包括两部分:CAS Server 和 CAS Client 。
1、CAS Server
CAS Server 负责完成对用户的认证工作 , 需要独立部署 , CAS Server 会处理用户名 / 密码等凭证 (Credentials) 。
2、CAS Client
负责处理对客户端受保护资源的访问请求,需要对请求方进行身份认证时,重定向到 CAS Server 进行认证。(原则上,客户端应用不再接受任何的用户名密码等 Credentials )。
CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。
CAS 原理和协议
基础模式
SSO 访问流程主要有以下步骤:
访问服务:SSO客户端发送请求访问应用系统提供的服务资源。
定向认证:SSO客户端会重定向用户请求到SSO服务器。
用户认证:用户身份认证。
发放票据:SSO服务器会产生一个随机的Service Ticket。
验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。
通俗来说,就是这样一个流程:用户通过浏览器访问应用服务器,应用服务器后端发现没有携带ST,则会要求浏览器重定向到cas server去获取ST,cas server发现浏览器没有携带cookie,而是通过用户名密码请求过来的,请通过用户名密码进行认证,认证通过则生成TGC,同时生成TGT,TGC与TGT通过key-value形式关联起来,并通过TGT签发一个ST,然后将ST和TGC返回给浏览器,浏览器将TGC作为cookie保存起来,并将ST加入用户请求中,发给应用服务器。应用服务器拿到ST,然后传递给cas server进行验证该ST的合法性,验证通过则接受请求,开始处理业务逻辑。当后续的用户通过浏览器请求应用服务器时,就会直接携带TGC,应用服务器将浏览器重定向到cas server进行获取ST,cas server通过TGC和TGT的缓存对应,直接拿到TGT生成ST给浏览器,然后浏览器携带ST向应用服务器发起请求。
下面是基于redis数据库做的sso数据结构设计方案
数据结构设计
TGT对象(HASH类型)
属性:
{
"expirationPolicy": "XXX", // 二进制字符串
"lastTimeUsed": "285335482", // 上次使用时间
"previousLastTimeUsed": "582852df", // 上上次使用时间
"creationTime": "234dfea", // TGT创建时间
"countOfUses": "2", // 使用次数
"parentTgtId": "TGT-XXX", // 父TGT
"expiredTime": "", // 过期时间
"services": "XXX", // 跳转的url,二进制字符串
"authentication": "XXX", // 身份信息,二进制字符串
"expired": "true", // 是否已失效
"loginURL": "{login-URL}", // 登录地址
}User-TGT对象(SET类型)
ticket.userId:{user-id} 标识一个用户的在线会话 元素:
{
"TGT-1",
"TGT-2"
}TGT对象(ZSET类型)
ticket.tgts: 所有TGT,按时间排序 元素:
{
"TGT-1",
"TGT-2"
}ST对象(HASH类型)
ticket.st:{ST-id} 属性:
{
"expirationPolicy": "XXX", // 二进制字符串
"lastTimeUsed": "285335482", // 上次使用时间
"previousLastTimeUsed": "582852df", // 上上次使用时间
"creationTime": "234dfea", // TGT创建时间
"countOfUses": "2", // 使用次数
"parentTgtId": "TGT-XXX", // 父TGT
"expiredTime": "", // 过期时间
"services": "XXX", // 跳转的url,二进制字符串
"fromNewLogin": "true", // 是否新的登录生成的
"grantedTicketAlready": "true", // 是否已有TGT关联
}下面是redis的相关命令介绍
redis缓存
1、查看所有keys
30.1.3.29:26661> keys *
1) "ticket.st:ST-268-kuBYeNH1jarbho0d9yonUlnQ-sso"
2) "ticket.tgts:"
3) "ticket.tgtId_stId:6f6e776f021abd3858d288b6c150fde17523604cdfffc7e4618b8d7a95664fcd"
4) "ticket.userId:f4fe1232f30646ed84b397da39041e0f"
5) "global.users.login-records:f4fe1232f30646ed84b397da39041e0f"
6) "ticket.tgt:6f6e776f021abd3858d288b6c150fde17523604cdfffc7e4618b8d7a95664fcd"如果keys提示不可用,则修改redis.conf配置文件:
rename-command FLUSHALL ""
rename-command EVAL ""
rename-command FLUSHDB ""
rename-command KEYS ""去掉该keys重命名
2、查看类型
30.1.3.29:26661> type "ticket.st:ST-268-kuBYeNH1jarbho0d9yonUlnQ-sso"
hash3、hash类型
查看hash类型的所有key
30.1.3.29:26661> hkeys "ticket.st:ST-268-kuBYeNH1jarbho0d9yonUlnQ-sso"
1) "countOfUses"
2) "creationTime"
3) "lastTimeUsed"
4) "fromNewLogin"
5) "expiredTime"
6) "services"
7) "grantedTicketAlready"
8) "expirationPolicy"
9) "parentTgtId"
10) "previousLastTimeUsed"查看过期时间
30.1.3.29:26661> ttl "ticket.st:ST-268-kuBYeNH1jarbho0d9yonUlnQ-sso"
(integer) 722
30.1.3.29:26661>
30.1.3.29:26661> pttl "ticket.st:ST-268-kuBYeNH1jarbho0d9yonUlnQ-sso"
(integer) 709418ttl为秒,pttl为毫秒
还有其他一些命令:hgetall key,hvals key, hget key field
4、有序集合zset
查看集合个数
30.1.3.29:26661> zcard "ticket.tgts:"
(integer) 1获取所有元素
30.1.3.29:26661> zrange "ticket.tgts:" 0 -1
1) "6f6e776f021abd3858d288b6c150fde17523604cdfffc7e4618b8d7a95664fcd"获取指定元素分数
30.1.3.29:26661> zscore "ticket.tgts:" 6f6e776f021abd3858d288b6c150fde17523604cdfffc7e4618b8d7a95664fcd
"1589460268224"5、集合set
查看元素个数
30.1.3.29:26661> scard "ticket.userId:f4fe1232f30646ed84b397da39041e0f"
(integer) 1查看所有元素
30.1.3.29:26661> smembers "ticket.userId:f4fe1232f30646ed84b397da39041e0f"
1) "6f6e776f021abd3858d288b6c150fde17523604cdfffc7e4618b8d7a95664fcd"其他命令
增加元素:
sadd key member [member ...]随机获取元素:
srandmember langs count判断元是否存在:
sismember key member移除元素:
srem key member [member ...]弹出元素:
spop key [count]