導讀目錄單點登錄簡介sso&CAS是什么單點登錄適合什么場景單點登錄的三種實現方式CAS的幾個重要知識點CAS的實現過程單點登錄簡介單點登錄(SingleSig....目錄

單點登錄簡介

sso&CAS是什么

單點登錄適合什么場景

單點登錄的三種實現方式

CAS的幾個重要知識點

CAS的實現過程

---

單點登錄簡介

單點登錄(SingleSignOn，SSO)，就是通過用戶的一次性鑒別登錄。當用戶在身份認證服務器上登錄一次以后，即可獲得訪問單點登錄系統中其他關聯系統和應用軟件的權限，同時這種實現是不需要管理員對用戶的登錄狀態或其他信息進行修改的，這意味著在多個應用系統中，用戶只需一次登錄就可以訪問所有相互信任的應用系統。這種方式減少了由登錄產生的時間消耗，輔助了用戶管理，是目前比較流行的。

A.傳統登錄流程圖：

B.單點登錄流程圖：

SSO&CAS是什么SSO

SSO是目前比較流行的服務于企業業務整合的解決方案之一， SSO 使得在多個應用系統中，用戶只需要 登錄一次 就可以訪問所有相互信任的應用系統。

CAS

CAS 是 Yale 大學發起的一個企業級的、開源的項目，旨在為 Web 應用系統提供一種可靠的單點登錄解決方法（SSO的一種框架）

CAS 包括兩部分：CAS Server 和 CAS Client

CAS Server：負責完成對用戶的認證工作 , 需要獨立部署。

CAS Client：負責處理對客戶端受保護資源的訪問請求，需要對請求方進行身份認證時，重定向到 CAS Server 進行認證。

階段匯總集合：一年內容，200期Java面試題階段匯總

單點登錄適合什么場景

拿新浪舉個單點登錄的例子

新浪微博與新浪博客是相互信任的應用系統:

當用戶首次訪問新浪微博時，新浪微博識別到用戶未登錄，將請求重定向到認證中心，認證中心也識別到用戶未登錄，則將請求重定向到登錄頁。

當用戶已登錄新浪微博訪問新浪博客時，新浪博客識別到用戶未登錄，將請求重定向到認證中心，認證中心識別到用戶已登錄，返回用戶的身份，此時用戶無需登錄即可使用新浪博客。

只要多個系統使用同一套單點登錄框架那么它們將是相互信任的。

單點登錄的三種實現方式1.同域SSO

沒有設置獨立的 SSO 服務器，因為業務后臺服務器本身就足以承擔 SSO 的職能。

2.同父域SSO

和同域SSO不同在于，服務器在返回 cookie 的時候，要把cookie 的 domain 設置為其父域。

3.跨域SSO（CAS）

設置專門SSO服務器，當兩個產品不同域時，cookie無法共享，從而我們就需要搭建SSO服務器。

CAS的幾個重要知識點接口：

/login：登錄接口，用于登錄到中心服務器。/logout：登出接口，用于從中心服務器登出。

票據

1. TGT (Ticket Grangting Ticket) :

TGT 是 CAS 為用戶簽發的登錄票據，擁有了 TGT，用戶就可以證明自己在 CAS 成功登錄過。TGT 封裝了 Cookie 值以及此 Cookie 值對應的用戶信息。

2.TGC(Ticket Granting Cookie) :

CAS Server 生成TGT放入自己的 Session 中，而 TGC 就是這個 Session 的唯一標識（SessionId），以 Cookie 形式放到瀏覽器端。

3.ST(service Ticket) :

ST 是 CAS 為用戶簽發的訪問某一 service 的票據。用戶訪問 service 時，service 發現用戶沒有 ST，則要求用戶去 CAS 獲取 ST。

CAS的實現過程跨域SSO（CAS）實現過程

1. 用戶訪問產品 a，域名是 http://www.a.cn。
2. 由于用戶沒有攜帶在 a 服務器上登錄的 a cookie，所以 a 服務器重定向到SSO 服務器的地址。
3. 由于用戶沒有攜帶在 SSO 服務器上登錄的 TGC，所以 SSO 服務器判斷用戶未登錄，給用戶顯示統一登錄界面。
4. 登錄成功后，SSO 服務器構建用戶在 SSO 登錄的 TGT，同時返回一個 http 重定向（包含 sso 服務器派發的 ST ）。
5. 重定向的 http response 中包含寫 cookie。這個 cookie 代表用戶在 SSO 中的登錄狀態，它的值是 TGC。
6. 瀏覽器重定向到產品 a。此時重定向的 url 中攜帶著 SSO 服務器生成的 ST。根據 ST，a 服務器向 SSO 服務器發送請求，SSO 服務器驗證票據的有效性。驗證成功后，a 服務器知道用戶已經在 sso 登錄了，于是 a 服務器構建用戶登錄 session。
7. 用戶訪問產品 b，域名是 http://www.b.cn。
8. 由于用戶沒有攜帶在 b 服務器上登錄的 b cookie，所以 b 服務器重定向到SSO 服務器，去詢問用戶在 SSO 中的登錄狀態。
9. 瀏覽器重定向到 SSO服務器。由于已經向瀏覽器寫入了攜帶 TGC 的cookie，所以此時 SSO 服務器可以拿到，根據 TGC 去查找 TGT，如果找到，就判斷用戶已經在 sso 登錄過了。
10. SSO 服務器返回一個重定向，重定向攜帶 ST。
11. 瀏覽器帶 ST 重定向到 b 服務器。
12. b 服務器根據票據向 SSO 服務器發送請求，票據驗證通過后，b 服務器知道用戶已經在 sso 登錄了，于是生成 b session，向瀏覽器寫入 b cookie。

作者：Java面試題精選

鏈接：https://mp.weixin.qq.com/s/Fcd7626X18_hwRRL_T88Og