CAS单点登录原理

CAS原理和协议：

1.访问服务：浏览器发送请求到应用系统的服务资源。

2.定向认证：（应用系统）SSO客户端会重定向用户请求到SSO服务器。

3.用户认证：用户身份认证。

4.发放票据：SSO服务器会产生一个随机的Service Ticket。

5.验证票据：SSO服务器验证票据Service Ticket的合法性，验证通过后，允许客户端访问服务。

6.传输用户信息：SSO服务器验证票据通过后，传输用户认证结果信息给客户端。

CAS Client和受保护的客户端应用部署在一起，以Filter方式保护Web应用的受保护资源，过滤从客户端过来的每一个WEB请求，同时，CAS Client会分析HTTP请求中是否包含请求Service Ticket，如果没有，则说明该用户是没有经过认证的；于是CAS Client会重定向用户请求到CAS Server，并传递Service（要访问的目的资源）。第三步是认证过程，如果用户密码验证正确，CAS Server随机产生一个相当长度，唯一，不可伪造的Service Ticket，并缓存以待将来验证，并且重定向用户导Service所在地址（附带刚才产生的Service Ticket），并为客户端浏览器设置一个Ticket Granted Cookie（TGC）；CAS Client在拿到Service和新产生的Ticket后，在第五步和第六步和CAS Server进行身份核实，确保Service Ticket的合法性。

 

 

 

 

转载自：http://www.cnblogs.com/notDog/p/5252973.html