cas实现单点登录.ppt

,CAS实现SSO单点登录,1、开源的、多协议的SSO解决方案；Protocols：CustomProtocol、CAS、OAuth、OpenID、RESTfulAPI、SAML1.1、SAML2.0等。2、支持多种认证机制：ActiveDirectory、JAAS、JDBC、LDAP、X.509Certificates等；3、安全策略：使用票据（Ticket）来实现支持的认证协议；4、支持授权：可以决定哪些服务可以请求和验证服务票据（ServiceTicket）；5、提供高可用性：通过把认证过的状态数据存储在TicketRegistry组件中，这些组件有很多支持分布式环境的实现，如：BerkleyDB、Default、EhcacheTicketRegistry、JDBCTicketRegistry、JBOSSTreeCache、JpaTicketRegistry、MemcacheTicketRegistry等；6、支持多种客户端：Java、.Net、PHP、Perl、Apache,uPortal等。,CAS简介,主要特性,单点登录（SingleSign-On,简称SSO）是目前比较流行的服务于企业业务整合的解决方案之一，SSO使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。,SSO单点登录原理,什么是SSO,SSO认证中心(1个),User（多个）,Web应用（多个）,SSO原理,SSO体系中的角色,SSO认证中心和所有的Web应用建立一种信任关系，也就是说web应用必须信任认证中心。（单点信任）,SSO认证中心通过一些方法来告诉Web应用当前访问用户究竟是不是已通过认证的用户,所有的认证登录都在SSO认证中心进行,SSO原理,SSO实现模式的原则,CASServer,CASClient,CASServer负责完成对用户的认证工作,需要独立部署,CASServer会处理用户名/密码等凭证(Credentials),负责处理对客户端受保护资源的访问请求，需要对请求方进行身份认证时，重定向到CASServer进行认证。（原则上，客户端应用不再接受任何的用户名密码等Credentials）。CASClient与受保护的客户端应用部署在一起，以Filter方式保护受保护的资源。,CAS的基本原理,结构体系,基础模式SSO访问流程主要有以下步骤：1.访问服务：SSO客户端发送请求访问应用系统提供的服务资源。2.定向认证：SSO客户端会重定向用户请求到SSO服务器。3.用户认证：用户身份认证。4.发放票据：SSO服务器会产生一个随机的ServiceTicket。5.验证票据：SSO服务器验证票据ServiceTicket的合法性，验证通过后，允许客户端访问服务。6.传输用户信息：SSO服务器验证票据通过后，传输用户认证结果信息给客户端。,CAS原理和协议,什么是SSO,CAS原理和协议,CAS请求认证时序图,CAS原理和协议,CAS如何实现SSO,当用户访问另一个应用的服务再次被重定向到CASServer的时候，CASServer会主动获到这个TGCcookie，然后做下面的事情：1)如果User持有TGC且其还没失效，那么就走基础协议图的Step4，达到了SSO的效果；2)如果TGC失效，那么用户还是要重新认证(走基础协议图的Step3)。,CAS原理和协议,CAS代理模式,该模式形式为用户访问App1，App1又依赖于App2来获取一些信息，如：User-App1-App2。这种情况下，假设App2也是需要对User进行身份验证才能访问，那么，为了不影响用户体验（过多的重定向导致User的IE窗口不停地闪动)，CAS引入了一种Proxy认证机制，即CASClient可以代理用户去访问其它Web应用。代理的前提是需要CASClient拥有用户的身份信息(类似凭据)。之前我们提到的TGC是用户持有对自己身份信息的一种凭据，这里的PGT就是CASClient端持有的对用户身份信息的一种凭据。凭借TGC，User可以免去输入密码以获取访问其它服务的ServiceTicket，所以，这里凭借PGT，Web应用可以代理用户去实现后端的认证，而无需前端用户的参与。下面为代理应用（helloService）获取PGT的过程：（注：PGTURL用于表示一个Proxy服务，是一个回调链接；PGT相当于代理证；PGTIOU为取代理证的钥匙，用来与PGT做关联关系；）,CAS原理和协议,CAS代理模式,代理认证和提供服务的过程,CAS安全性,TGC/PGT安全性,对于一个CAS用户来说，最重要是要保护它的TGC，如果TGC不慎被CASServer以外的实体获得，Hacker能够找到该TGC，然后冒充CAS用户访问所有授权资源。PGT的角色跟TGC是一样的。从基础模式可以看出，TGC是CASServer通过SSL方式发送给终端用户，因此，要截取TGC难度非常大，从而确保CAS的安全性。TGT的存活周期默认为120分钟。,CAS安全性,ST/PT安全性,ST（ServiceTicket）是通过Http传送的，因此网络中的其他人可以Sniffer到其他人的Ticket。CAS通过以下几方面来使ST变得更加安全（事实上都是可以配置的）：1、ST只能使用一次CAS协议规定，无论ServiceTicket验证是否成功，CASServer都会清除服务端缓存中的该Ticket，从而可以确保一个ServiceTicket不被使用两次。2、ST在一段时间内失效CAS规定ST只能存活一定的时间，然后CASServer会让它失效。默认有效时间为5分钟。3、ST是基于随机数生成的ST必须足够随机，如果ST生成规则被猜出，Hacker就等于绕过CAS认证，直接访问对应的服务。,PPT模板下载：,感谢聆听批评指导,