CAS协议解析:从CAS1.0到CAS2.0的单点登录机制

需积分: 50 6 下载量 130 浏览量 更新于2024-08-16 收藏 1.43MB PPT 举报
"CAS协议是Central Authentication Service的缩写,是一种单点登录(Single Sign-On,简称SSO)协议,用于实现用户在一个系统登录后,可以在其他关联的系统中自动登录,无需再次输入认证信息。该协议有多个版本,包括CAS1.0和CAS2.0,分别适用于不同的场景。 CAS1.0协议被称为基础模式,主要用于Web应用之间,这些应用彼此独立,没有复杂的集成需求。在CAS1.0中,用户首次访问系统时会被重定向到CAS服务器进行登录,之后再访问其他系统时,由于持有登录票据(TGT),能够自动通过身份验证,实现单点登录。 CAS2.0则引入了代理模式,适应了包含非Web应用或者应用之间有集成关系的情况。在CAS2.0中,对于非Web应用,可以通过代理服务(Proxy Service)进行中间验证,以解决非Web应用无法处理Cookie的问题。 CAS协议的核心在于一系列票据的管理与验证,主要包括以下几个关键术语和接口: 1. **术语**: - Client:客户端,即用户使用的应用。 - Server:CAS服务器,负责认证服务。 - Service:服务端,用户希望访问的应用。 - Proxy:代理,用于处理非Web应用的身份验证。 - Target:目标服务,即最终用户需要访问的实际资源。 2. **接口**: - /login:用户登录接口。 - /logout:用户登出接口。 - /validate:简单验证接口,适用于CAS1.0。 - /serviceValidate:服务验证接口,用于CAS2.0,验证ServiceTicket。 - /proxyValidate:代理验证接口,用于CAS2.0,验证ProxyTicket。 - /proxy:获取ProxyTicket的接口。 3. **票据**: - TicketGrantingTicket(TGT):登录票据,用户登录CAS服务器后获得,表示用户已经成功登录。 - ServiceTicket(ST):服务票据,用户访问特定服务时,由CAS根据TGT签发,用于证明用户对特定服务的访问权限。 - ProxyTicketGrantingTicket(PGT):代理票据,当ProxyService需要代表用户访问TargetService时使用。 - PGTIOU(ProxyTicketGrantingTicket IOU):PGT的唯一标识,增强PGT的安全传输和管理。 - ProxyTicket(PT):目标服务票据,用户通过ProxyService获取,用于访问TargetService。 在实际流程中,用户首次访问应用时,如果没有TGT,会被重定向到CAS服务器进行身份验证。一旦验证成功,CAS会签发TGT,并将其与一个Cookie一起返回给用户。后续用户访问其他服务时,携带TGT的Cookie,服务端会通过与CAS服务器交互验证TGT,从而确认用户身份并签发ST。用户凭借ST访问资源,而ST经过CAS验证后,用户才能成功访问服务。对于非Web应用,这个过程涉及到PGT和PT的使用,以完成代理验证。 CAS协议通过这种机制,实现了跨系统的用户身份统一认证,减少了用户在不同应用间反复登录的困扰,提高了用户体验,同时也提供了安全的认证流程。"