CAS单点登录登出原理

http://ttaale.iteye.com/blog/1166674

CAS单点登录原理

利用之前的角色及上面的用例，交互可以表示为如下步骤

1.用户访问application1,application1查看session中是否有用户登录的信息(使用session的情况下)，如果没有，转向到Server要求用户认证身份，此时将会把此用户的sessionId一并传给Server。

2.用户被转向到Server认证成功后，Server生成ticket号和票据，将号和票据连同application1的SessionId一并存入服务器端(可以选择内存，也可以选择数据库持久化)，并在用户浏览器中设置cookie，确保已经登录。之后Server将用户redirect到 application1，并且增加tickect号参数。

3。application1收到Server回传回来的tickect号参数，根据这个参数application1在后台 与Server建立安全连接，验证tickect的有效性，并且接受Server返回的用户信息。登录成功。

4。用户登录application2.application2发现用户session中有未登录信息，转向到Server，Server取用户 cookie，发现用户已经登录成功过。于是把用户在application2的sessionId记录，返回ticket参数给 application2。application2验证过程类似3。

CAS单点登出原理

类似于之前的角色，我们重写单点登出的用例。用户从application1登出。交互步骤如下：

1.用户在application1点击登出，登出url被转向到Server。

2.Server收到登出请求后，删除用户的cookie，并且从内存中取出之前用户在所有的application中的登录的sessionId，依次向这些application发送消除session请求。并且删除之前内存中保存的用户登录的ticket号和票据的信息。

3.各个application收到Server的请求后，被single sign out的Filter拦截，根据回传的sessionId号，清除用户session。

4.单点登出完毕。

Server端一直维护者用户登录信息的一个map，map中包含了用户登录生成的ticket号和票据，用户登录的application及在其上的sesseionId等。单点登录完全由Server端承担，验证由 application与Server在后台(用户不可见)建立安全连接完成。