前面已經(jīng)講解過多系統(tǒng)SSO實現(xiàn)的方案:
多系統(tǒng)使用共享session實現(xiàn)SSO登錄案例 - 簡書 (jianshu.com)
Spring Security實現(xiàn)OAuth2.0——授權(quán)服務(wù) - 簡書 (jianshu.com)
一、CAS簡介
實現(xiàn)SSO有很多種方案,比較簡單且可行的一般都是如上兩種再加上CAS,一般企業(yè)內(nèi)部多個系統(tǒng)之間如果想實現(xiàn)SSO,比較推薦的方式就是今天要介紹的CAS,Central Authentication Service,中央身份認(rèn)證服務(wù)。
CAS方案主要包含如下兩個部分:
- CAS Server,作為認(rèn)證服務(wù)的中心,需要單獨部署;
- CAS Client,指需要單點登錄的各個系統(tǒng),官方支持10+類型的客戶端;
如下是一個多系統(tǒng)完整進行CAS SSO的流程:
- 瀏覽器首先訪問系統(tǒng)1的時候,系統(tǒng)1判定其未登錄(沒有局部會話),因此重定向到SSO認(rèn)證中心,認(rèn)證中心也沒有當(dāng)前瀏覽器的全局會話,因此返回登錄頁面給瀏覽器要求登錄;
- 瀏覽器登錄成功后,認(rèn)證中心會保留該瀏覽器用戶的全局會話,后續(xù)該用戶再通過其它系統(tǒng)來SSO認(rèn)證中心認(rèn)證時,會將全局會話的JSESSIONID帶給認(rèn)證中心,認(rèn)證中心就能知道該用戶目前具有全局會話,是已登錄狀態(tài);
- 認(rèn)證中心創(chuàng)建一個臨時的授權(quán)令牌給到系統(tǒng)1,該令牌具有時間有效期,且只能使用一次,系統(tǒng)1收到該令牌后,由于無法判斷是否被偽造,因此需要再次請求認(rèn)證中心校驗。得到認(rèn)證成功回復(fù)后,系統(tǒng)1就會給當(dāng)前用戶創(chuàng)建一個局部會話,在該局部會話未過期之前,用戶再次訪問系統(tǒng)1都不需要再到認(rèn)證中心進行認(rèn)證;
- 若瀏覽器用戶此時訪問其它系統(tǒng)2,系統(tǒng)2判定其未登錄(沒有局部會話),因此重定向到SSO認(rèn)證中心,并帶上第二步保存的全局會話JSESSIONID,認(rèn)證中心判定用戶已經(jīng)登錄,因此創(chuàng)建一個臨時的授權(quán)令牌給到系統(tǒng)2,系統(tǒng)2再進行步驟3的內(nèi)容。
然后是SSO注銷的一個流程:
二、CAS實現(xiàn)
2.1 CAS Server
服務(wù)端在官方github地址上有現(xiàn)成的war包可供使用,直接下載即可,由于最新版本的依賴管理工具已經(jīng)從maven改為gradle了,本人由于更加熟悉maven,因此沒有選擇最新版本,而是使用5.3版本。下載之后解壓即可。
在解壓縮后的目錄中執(zhí)行打包命令build.cmd package,就能在target目錄下看到war包了,將該cas.war放在本地的tomcat的webapps目錄下,啟動tomcat即可。
此時訪問本地tomcat服務(wù)http://localhost:8080/cas就能看到登錄頁面了。
默認(rèn)的賬密為:casuser/Mellon,該密碼的配置在如下目錄內(nèi)WEB-INF\classes\application.properties,如需修改密碼需要自行修改tomcat中解壓后的如下文件內(nèi)容。
##
# CAS Authentication Credentials
#
cas.authn.accept.users=casuser::Mellon
默認(rèn)情況下,client端和server端的通信協(xié)議是https的,如果想要在本地http協(xié)議環(huán)境下跑通,就需要關(guān)掉該默認(rèn)的https服務(wù)。
在WEB-INF\classes\application.properties的最后添加如下配置內(nèi)容:
cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true
在WEB-INF\classes\services\HTTPSandIMAPS-10000001.json中修改內(nèi)容:
"serviceId" : "^(https|http|imaps)://.*"
然后重啟CAS Server即可。
2.2 CAS Client
<dependency>
<groupId>net.unicon.cas</groupId>
<artifactId>cas-client-autoconfig-support</artifactId>
<version>2.1.0-GA</version>
</dependency>
@EnableCasClient
@SpringBootApplication
public class SsoClient1Application {
public static void main(String[] args) {
SpringApplication.run(SsoClient1Application.class, args);
}
}
@RestController
public class LoginClient1Controller {
@GetMapping("/getUserInfo")
public String getUserInfo(){
return "user1";
}
}
server.port=8081
cas.server-url-prefix=http://localhost:8080/cas
cas.server-login-url=http://localhost:8080/cas/login
cas.client-host-url=http://localhost:8081
cas.validation-type=cas3
如上是client1的全部內(nèi)容,client2基本類似,不再贅述。
啟動兩個客戶端之后,訪問它們的任意一個接口,都會重定向到CAS Server的登錄頁面,只要完成一次登錄,再訪問兩個系統(tǒng)的任意接口都可以直接進入,無需再登錄了,從而實現(xiàn)了SSO。
那么CAS和我們熟知的OAuth2.0協(xié)議有什么區(qū)別呢?
OAuth2是三方授權(quán)協(xié)議,允許用戶在不提供賬號密碼的情況下,通過信任的應(yīng)用進行授權(quán),使其客戶端可以訪問權(quán)限范圍內(nèi)的資源。
CAS是中央認(rèn)證服務(wù)協(xié)議,一個基于票據(jù)方式實現(xiàn) SSO 單點登錄的框架,為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點登錄解決方法。
CAS 的單點登錄是保障客戶端的用戶資源的安全 ,而OAuth2 則是保障服務(wù)端的用戶資源的安全。
CAS 客戶端要獲取的最終信息是,這個用戶到底有沒有權(quán)限訪問我(CAS 客戶端)的資源;OAuth2 獲取的最終信息是,我(oauth2 服務(wù)提供方)的用戶的資源到底能不能讓你(oauth2 的客戶端)訪問。
因此,需要統(tǒng)一的賬號密碼進行身份認(rèn)證,用 CAS;需要授權(quán)第三方服務(wù)使用我方資源,使用 OAuth2。
最后,CAS不僅支持SSO實現(xiàn)方案中的CAS協(xié)議,還支持OAuth2、SAML等協(xié)議,具體可以參考官方文檔。
參考文檔
CAS - Getting Started Guide (apereo.github.io)
基于CAS實現(xiàn)SSO單點登錄 - 知乎 (zhihu.com)
Spring Security實現(xiàn)OAuth2.0——授權(quán)服務(wù) - 簡書 (jianshu.com)
