SSO 这个观点已经涌现良久,目前已有很多非常成熟的实现方案,比如OpenSSO,OpenAM,Kerberos,CAS等。个中CAS方案在Java Web领域运用最为广泛。
OpenSSO:曾经Sun的一款开源SSO产品,后来Sun被Oracle收购往后,Oracle便关闭了OpenSSO这个项目。OpenAM:OpenAM的原型便是OpenSSO,可用于更换被取消的OpenSSO。Kerberos:麻省理工研发的一个基于DES加密技能的网络认证协议。Windows2000和后续的微软操作系统都将Kerberos作为默认认证方法。CAS:CAS(Central Authentication Service)是耶鲁大学发起的一个开源项目,支持Java, .Net, PHP等各种措辞开拓的web运用。要实现单点登录,常日须要有一个专门的SSO认证中央,在访问业务系统的资源前,用户须要先在认证中央认证身份,才能得到许可访问业务系统的令牌(token)。
SSO基本事理
根据CAS协议,全体系统分为CAS Server和CAS Client两个角色,CAS Server卖力完成对用户的认证事情;CAS Client 与受保护的运用支配在一起。
JWT标准是运用最为广泛的基于Token的会话管理方案,前文《Java口试常见问题:JWT是什么?》曾经先容过JWT标准。CAS方案也支持JWT,本文我们来先容一下基于JWT和CAS的SSO单点登录方案。假设业务系统A和业务系统B都依赖CAS认证做事供应单点登录的会话管理。
CAS供应单点登录
SSO登录过程当用户对业务系统A的页面page01发起第一次要求时,要求流程如下图所示。
首次访问系统A的要求流程
(1)访问系统A触发CAS认证。浏览器要求 GET http://systemA.com/page01,系统A创造未登录,关照浏览看重定向到CAS,返回302 Location:http://cas.com/login?redirectUrl=http%3A%2F%2FsystemA.com%2Fpage01
(2)CAS返回登录表单。浏览器要求 GET http://cas.com/login?redirectUrl=http%3A%2F%2FsystemA.com%2Fpage01,此时CAS还未创建单点登录的Session,返回登录页给浏览器,等待用户输入用户名和密码。
(3)CAS为系统A签发jwt。浏览器提交表单到CAS,发送要求 POST http://cas.com/login?redirectUrl=http%3A%2F%2FsystemA.com%2Fpage01。此时CAS要做3件事情:
CAS根据POST提交的表达验证用户名和密码,如果验证通过,就创建一个SSO Session工具,并将session id写入cookie中。CAS为系统A签发一个jwt,在payload中指定过期韶光,以及SSO会话的session id。关照浏览看重定向到系统A的 /cas/attach 接口,并把jwt返回浏览器,返回302 Location: http://systemA.com/cas/ attach?jwt=x.y.z&redirectUrl= http%3A%2F%2FsystemA.com%2Fpage01(4)要求资源验证jwt。浏览器要求系统A,GET http://systemA.com/cas/ attach?jwt=x.y.z&redirectUrl= http%3A%2F%2FsystemA.com%2Fpage01。系统A从要求中取得CAS签发的jwt,并跟CAS验证jwt是否有效。如果CAS验证通过,系统A将jwt存入cookie,并关照浏览看重定向到原来要访问的page01页面。
(5)返回页面。浏览器要求 GET http://systemA.com/page01,系统A的cookie已经存在jwt,再次通过CAS来验证jwt是否有效。CAS验证通过,返回sso session中的数据给系统A。系统A处理对page01的要求,并返回页面给浏览器。
单点登录往后当浏览器要求系统A的其余一个页面page02时,要求过程与上面第(5)步基本同等。
登录往后访问系统A的流程
当浏览器要求其余一个别系B,流程如下。
单点登录后访问其余的系统B
(1)浏览器访问系统B,系统B创造没有jwt,则关照浏览器跳转CAS,返回302 Location:http://cas.com/login?redirectUrl=http%3A%2F%2FsystemB.com%2Fpage01
(2)浏览器访问CAS,cookie中附带session id。此时CAS创造已创建sso session,并验证有效性。如果验证通过,则为系统B签发jwt,在payload中指定过期韶光以及SSO会话的session id。
(3)浏览器访问系统B的/cas/attach接口,系统B取得jwt后向CAS验证。如果验证通过,则系统B在cookie中存入jwt,并关照浏览看重定向到本来要访问的页面。
(4)浏览器访问http://systemB.com/page01, 此时系统B的cookie中已经存在CAS签发的jwt,系统B向CAS验证,验证通过后,CAS向系统B返回sso session数据。末了系统B返回页面给浏览器。
在访问系统B的过程中,已经不须要用户重新在登录页面中输入用户名和密码,实现了单点登录。
当浏览器在系统B退出登录。
退出登录
浏览器访问系统B的/cas/logout接口,重定向到CAS。CAS要销毁sso session工具,并打消session id的cookie。
此时jwt的cookie在系统A和系统B中还存在,不须要挨个去删除。纵然jwt不才次访问时会随着cookie再传到做事端,但由于session id已经失落效了,终极还是会重定向到CAS的登录页。以是不须要去删除各个业务系统的jwt的cookie。
总结全体单点登录的会话管理是基于CAS做事的session来实现的。对业务系统的资源要求,都会携带CAS签发的jwt。只要CAS认证通过,那么业务系统就可以放心许可客户端要求资源。
总的来说,这个方案的好处有:
完备分布式,跨平台,CAS以及业务系统均可采取不同的措辞来开拓;业务系统不须要保存登录状态,可实现做事端无状态比较随意马虎在CAS里集成第三方登录做事,如微信登录。不过这个方案也有一些毛病:
第一次登录系统时,须要三次重定向;登录后的后续要求,每次都须要跟CAS进行会话验证,CAS的压力会比较大,也会增加要求相应韶光,影响用户体验。我会持续更新关于物联网、云原生以及数字科技方面的文章,用大略的措辞描述繁芜的技能,也会偶尔揭橥一下对IT家当的意见,请大家多多关注,欢迎留言和转发,希望与大家互动互换,感激。
