tomcat版本: tomcat-8.0.29
jdk版本: jdk1.8.0_65
nginx版本: nginx-1.9.8
cas版本: cas4.1.2
cas-client-3.4.1
参考来源:
jasig.github.io:CAS protocol
https://github.com/Jasig/java-cas-client
通过Proxy访问其它Cas应用
CAS负载均衡配置——SSL篇
CAS负载均衡配置
CAS客户端集群
CAS (1) —— Mac下配置CAS到Tomcat(服务端)
CAS (2) —— Mac下配置CAS到Tomcat(客户端)
CAS (3) —— Mac下配置CAS客户端经代理访问Tomcat CAS
Mac为nginx安装nginx-sticky-module
【高可用HA】Nginx (1) —— Mac下配置Nginx Http负载均衡(Load Balancer)之101实例
Nginx (2) —— Mac下配置Apache Httpd的Https/SSL (待出)
在CAS官方网站上给出了一个“Proxy Web Flow Diagram”:
顺序图:(来源于http://jasig.github.io/cas/4.0.x/protocol/CAS-Protocol.html)
这个方案主要适用一种场景:
有两个应用App1和App2,它们都是受Cas Server保护的,即请求它们时都需要通过Cas Server的认证。现需要在App1中通过Http请求访问App2,显然该请求将会被App2配置的Cas的AuthenticationFilter拦截并转向Cas Server,Cas Server将引导用户进行登录认证,这样我们也就不能真正的访问到App2了。针对这种应用场景,Cas也提供了对应的支持。通过Proxy访问其它Cas应用
无论是用中文关键字在“度娘”,还是用英文关键字再“谷哥”上搜索,多数文章都是描述上面这样一个场景。
要搭建上面这个环境会相对复杂,我们需要参照之前的文章准备以下必备的组件或环境:
CAS (5) —— Nginx代理模式下浏览器访问CAS服务器配置详解
访问“https://app1.hoau.com:8413/cas1”
会重定向到“https://proxy.sso.hoau.com/cas/login?service=https%3A%2F%2Fapp1.hoau.com%3A8413%2Fcas1”
然后输入用户明密码(test01/psw01)
如果验证成功,则会将浏览器重定向到app1的登陆成功页面。
再次访问“https://app1.hoau.com:8413/cas1”
可以直接进入登陆成功页,而无需输入用户名密码。
访问另一应用
同样可以通过test01用户直接进入登陆成功页,而无需输入用户名密码。
上面基本测试通过,我们接着分析网络顺序。
由于这个场景较为简单,所以jasig官网上并没有给出这个场景下的网络顺序图。于是我自己画了一个。
仔细观察可以发现:上图与不通过nginx代理时,官网的序列图类似,只有代理出多了转发和反向的工作。
https://app1.hoau.com:8413/cas1
首次登陆,身份验证未通过,返回重定向消息
302 Location
https://proxy.sso.hoau.com:443/cas/login
?service=https://app1.hoau.com:8413/cas1
https://sso.hoau.com:8433/cas/login
?service=https://app1.hoau.com:8413/cas1
CAS服务器发现用户没有SSO的Session,然后返回CAS的登陆页面内容
并且设置Cookie
CASTGC
由于身份验证成功,此刻浏览器被要求重定向至Protected App #1的登陆页
并且携带ticket信息。
*注意:以下(15)、(16)、(17)和(18)步为Protected App #1与CAS Server背后的交互。
Protected App #1 收到请求后,会再次访问CAS Server以验证ticket。
则会设置Cookie JSESSIONID,然后将重定向信息返回到浏览器
并携带有效的JSESSIONID,这时
如果验证通过,则
https://app1.hoau.com:8413/cas1
https://app2.hoau.com:8423/cas2
以上“再次访问”和“另一应用访问”不在赘述,大家可以自行测试,或参考无代理情况下的序列图:
CAS (4) —— CAS浏览器SSO访问顺序图详解(CAS Web Flow Diagram by Example)