单点登录全过程说明
单点登录过程:
第一次访问bpmsit.cloudytrace.com
步骤1:用户访问http://bpmsit.cloudytrace.com/ctbpm-web/,经过他的第一个过滤器(cas提供,在web.xml中配置)AuthenticationFilter。
过滤器全称:org.jasig.cas.client.authentication.AuthenticationFilter
主要作用:判断是否登录,如果没有登录则重定向到认证中心。
步骤2:http://bpmsit.cloudytrace.com/ctbpm-web/发现用户没有登录,则返回浏览器重定向地址。
首先可以看到我们请求http://bpmsit.cloudytrace.com/ctbpm-web/,之后浏览器返回状态码302,然后让浏览器重定向到http://ssosit.cloudytrace.com并且通过get的方式添加参数service,该参数目的是登录成功之后会要重定向回来,因此需要该参数。
标号3:浏览器接收到重定向之后发起重定向,请求http://ssosit.cloudytrace.com。
标号4:认证中心http://ssosit.cloudytrace.com接收到登录请求,返回登陆页面。
上图就是步骤3的请求,以及步骤4的响应。请求的URL是步骤2返回的URL。之后认证中心就展示登录的页面,等待用户输入用户名密码。
步骤5:用户在http://ssosit.cloudytrace.com/cas/login?service=http%3A%2F%2Fbpmsit.cloudytrace.com%2Fctbpm-web%2Fsso%2Flogin的login页面输入用户名密码,提交。
步骤6:服务器接收到用户名密码,则验证是否有效,验证逻辑可以使用cas-server提供现成的,也可以自己实现。
上图就是步骤5的请求,以及步骤6的响应。当ssosit.cloudytrace.com即csa-server认证通过之后,会返回给浏览器302,重定向的地址就是Referer中的service参数对应的值。后边并通过get的方式挟带了一个ticket令牌,这个ticket就是ST(数字3处)。同时会在Cookie中设置一个CASTGC,该cookie是网站ssosit.cloudytrace.com的cookie,只有访问这个网站才会携带这个cookie过去。
Cookie中的CASTGC:向cookie中添加该值的目的是当下次访问ssosit.cloudytrace.com时,浏览器将Cookie中的TGC携带到服务器,服务器根据这个TGC,查找与之对应的TGT。从而判断用户是否登录过了,是否需要展示登录页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。
TGT:Ticket Granted Ticket(俗称大令牌,或者说票根,他可以签发ST)
TGC:Ticket Granted Cookie(cookie中的value),存在Cookie中,根据他可以找到TGT。
ST:Service Ticket (小令牌),是TGT生成的,默认是用一次就生效了。也就是上面数字3处的ticket值。
标号7:浏览器从ssosit.cloudytrace.com那里里拿到ticket之后,就根据指示重定向到http://bpmsit.cloudytrace.com/ctbpm-web/sso/login,请求的url就是上面返回的url。
步骤8:http://bpmsit.cloudytrace.com在过滤器中会取到ticket的值,然后通过http方式调用http://ssosit.cloudytrace.com验证该ticket是否是有效的。
步骤9:http://ssosit.cloudytrace.com接收到ticket之后,验证,验证通过返回结果告诉http://bpmsit.cloudytrace.com该ticket有效。
步骤10:http://bpmsit.cloudytrace.com接收到cas-server的返回,知道了用户合法,展示相关资源到用户浏览器上。
至此,第一次访问的整个流程结束,其中步骤8与步骤9的环节是通过代码调用的,并不是浏览器发起,所以没有截取到报文。
第二次访问bpmsit.cloudytrace.com
上面以及访问过一次了,当第二次访问的时候发生了什么呢?
步骤11:用户发起请求,访问http://bpmsit.cloudytrace.com/ctbpm-web/。会经过cas-client,也就是过滤器,因为第一次访问成功之后http://bpmsit.cloudytrace.com/ctbpm-web/中会在session中记录用户信息,因此这里直接就通过了,不用验证了。
步骤12:用户通过权限验证,浏览器返回正常资源。
4.3、访问http://bpmsit.cloudytrace.com/ctbpm-web/
标号13:用户在http://bpmsit.cloudytrace.com/正常上网,突然想访问http://esmsit.cloudytrace.com/ctesm-admin/,于是发起访问http://esmsit.cloudytrace.com/ctesm-admin/的请求。
标号14:http://esmsit.cloudytrace.com/ctesm-admin/接收到请求,发现第一次访问,于是给他一个重定向的地址,让他去找认证中心登录。
上图可以看到,用户请求http://esmsit.cloudytrace.com/ctesm-admin/,然后返回给他一个网址,状态302重定向,service参数就是回来的地址。
步骤15:浏览器根据14返回的地址,发起重定向,因为之前访问过一次了,因此这次会携带上次返回的Cookie:TGC到认证中心。
步骤16:认证中心收到请求,发现TGC对应了一个TGT,于是用TGT签发一个ST,并且返回给浏览器,让他重定向到http://esmsit.cloudytrace.com/ctesm-admin/
可以发现请求的时候是携带Cookie:CASTGC的,响应的就是一个地址加上TGT签发的ST也就是ticket。
步骤17:浏览器根据16返回的网址发起重定向。
步骤18:http://esmsit.cloudytrace.com/ctesm-admin/获取ticket去认证中心验证是否有效。
标号19:认证成功,返回在http://esmsit.cloudytrace.com/ctesm-admin/的session中设置登录状态,下次就直接登录。
标号20:认证成功之后就反正用想要访问的资源了。
单点退出过程:
未完待续!!
本文版权归作者所有,欢迎转载,请在文章页面明显位置给出原文连接:https://www.cnblogs.com/wynjauu/articles/9360570.html
作者:敲完代码好睡觉