CAS协议详解：从1.0到2.0升级与关键概念

本文将深入解析CAS（Central Authentication Service）协议，主要对比CAS1.0和CAS2.0两种模式，并详细阐述它们在不同应用场景下的优势和适用性。CAS协议是一种用于实现Single Sign-On（SSO，单点登录）的标准化接口，其核心概念包括一系列关键术语、接口以及使用的票据。 1. CAS1.0 (基础模式)： - 适用于Web应用间的SSO，所有应用相互独立，集成关系简单。 - 主要涉及Client（客户端）、CASServer（认证服务器）和Service（服务端）。 - 用户首先通过CASServer进行登录，获得TicketGrantingTicket（TGT）。TGT是一个持久化的票据，存储了用户的登录凭证和相关信息，通常以Cookie形式存在。 - 当用户访问Service时，如果没有携带ST（ServiceTicket），服务端会引导用户返回CASServer获取ST，CASServer检查TGT有效后签发ST。 - ST是临时票据，用于一次性的服务访问授权。 2. CAS2.0 (代理模式)： - 扩展了CAS1.0，增加了对非Web应用的支持，如使用Cookie的限制。 - 在存在跨应用集成或复杂关系的情况下，如需为非Web应用（如桌面应用）提供SSO，CAS2.0引入了ProxyService的概念。 - ProxyService在用户通过CASServer完成认证后，会收到ProxyTicketGrantingTicket（PGT），这是为ProxyService的代理权限。 - PGTIOU（ProxyTicketGrantingTicket Instantiation Object URI）是一种增强型票据，增加了传输过程中的安全性。 - 用户通过ProxyService获取ProxyTicket（PT），PT允许用户代表TargetService访问资源，同时确保了安全性和代理关系。 CAS协议的核心是通过TGT、ST、PGT等票据的传递和验证，实现用户在多个应用间的一次登录，而随着需求的扩展，CAS2.0引入了Proxy模式，使得SSO更加灵活和安全。在设计和实现SSO系统时，选择合适的CAS模式至关重要，需根据应用的特性和集成需求来确定。