一、CAS簡(jiǎn)介

實(shí)現(xiàn)SSO有很多種方案，比較簡(jiǎn)單且可行的一般都是如上兩種再加上CAS，一般企業(yè)內(nèi)部多個(gè)系統(tǒng)之間如果想實(shí)現(xiàn)SSO，比較推薦的方式就是今天要介紹的CAS，Central Authentication Service，中央身份認(rèn)證服務(wù)。

CAS方案主要包含如下兩個(gè)部分：

• CAS Server，作為認(rèn)證服務(wù)的中心，需要單獨(dú)部署；
• CAS Client，指需要單點(diǎn)登錄的各個(gè)系統(tǒng)，官方支持10+類(lèi)型的客戶端；

如下是一個(gè)多系統(tǒng)完整進(jìn)行CAS SSO的流程：

SSO登錄流程

1. 瀏覽器首先訪問(wèn)系統(tǒng)1的時(shí)候，系統(tǒng)1判定其未登錄（沒(méi)有局部會(huì)話），因此重定向到SSO認(rèn)證中心，認(rèn)證中心也沒(méi)有當(dāng)前瀏覽器的全局會(huì)話，因此返回登錄頁(yè)面給瀏覽器要求登錄；
2. 瀏覽器登錄成功后，認(rèn)證中心會(huì)保留該瀏覽器用戶的全局會(huì)話，后續(xù)該用戶再通過(guò)其它系統(tǒng)來(lái)SSO認(rèn)證中心認(rèn)證時(shí)，會(huì)將全局會(huì)話的JSESSIONID帶給認(rèn)證中心，認(rèn)證中心就能知道該用戶目前具有全局會(huì)話，是已登錄狀態(tài)；
3. 認(rèn)證中心創(chuàng)建一個(gè)臨時(shí)的授權(quán)令牌給到系統(tǒng)1，該令牌具有時(shí)間有效期，且只能使用一次，系統(tǒng)1收到該令牌后，由于無(wú)法判斷是否被偽造，因此需要再次請(qǐng)求認(rèn)證中心校驗(yàn)。得到認(rèn)證成功回復(fù)后，系統(tǒng)1就會(huì)給當(dāng)前用戶創(chuàng)建一個(gè)局部會(huì)話，在該局部會(huì)話未過(guò)期之前，用戶再次訪問(wèn)系統(tǒng)1都不需要再到認(rèn)證中心進(jìn)行認(rèn)證；
4. 若瀏覽器用戶此時(shí)訪問(wèn)其它系統(tǒng)2，系統(tǒng)2判定其未登錄（沒(méi)有局部會(huì)話），因此重定向到SSO認(rèn)證中心，并帶上第二步保存的全局會(huì)話JSESSIONID，認(rèn)證中心判定用戶已經(jīng)登錄，因此創(chuàng)建一個(gè)臨時(shí)的授權(quán)令牌給到系統(tǒng)2，系統(tǒng)2再進(jìn)行步驟3的內(nèi)容。

然后是SSO注銷(xiāo)的一個(gè)流程：

SSO注銷(xiāo)流程

二、CAS實(shí)現(xiàn)

2.1 CAS Server

服務(wù)端在官方github地址上有現(xiàn)成的war包可供使用，直接下載即可，由于最新版本的依賴(lài)管理工具已經(jīng)從maven改為gradle了，本人由于更加熟悉maven，因此沒(méi)有選擇最新版本，而是使用5.3版本。下載之后解壓即可。

在解壓縮后的目錄中執(zhí)行打包命令build.cmd package，就能在target目錄下看到war包了，將該cas.war放在本地的tomcat的webapps目錄下，啟動(dòng)tomcat即可。

此時(shí)訪問(wèn)本地tomcat服務(wù)http://localhost:8080/cas就能看到登錄頁(yè)面了。

CAS Server登錄頁(yè)面

默認(rèn)的賬密為：casuser/Mellon，該密碼的配置在如下目錄內(nèi)WEB-INF\classes\application.properties，如需修改密碼需要自行修改tomcat中解壓后的如下文件內(nèi)容。

##
# CAS Authentication Credentials
#
cas.authn.accept.users=casuser::Mellon

默認(rèn)情況下，client端和server端的通信協(xié)議是https的，如果想要在本地http協(xié)議環(huán)境下跑通，就需要關(guān)掉該默認(rèn)的https服務(wù)。

在WEB-INF\classes\application.properties的最后添加如下配置內(nèi)容：
cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

在WEB-INF\classes\services\HTTPSandIMAPS-10000001.json中修改內(nèi)容：
"serviceId" : "^(https|http|imaps)://.*"

然后重啟CAS Server即可。

2.2 CAS Client

<dependency>
    <groupId>net.unicon.cas</groupId>
    <artifactId>cas-client-autoconfig-support</artifactId>
    <version>2.1.0-GA</version>
</dependency>

@EnableCasClient
@SpringBootApplication
public class SsoClient1Application {

    public static void main(String[] args) {
        SpringApplication.run(SsoClient1Application.class, args);
    }

}

@RestController
public class LoginClient1Controller {

    @GetMapping("/getUserInfo")
    public String getUserInfo(){
        return "user1";
    }

}

server.port=8081

cas.server-url-prefix=http://localhost:8080/cas
cas.server-login-url=http://localhost:8080/cas/login
cas.client-host-url=http://localhost:8081
cas.validation-type=cas3

如上是client1的全部?jī)?nèi)容，client2基本類(lèi)似，不再贅述。

啟動(dòng)兩個(gè)客戶端之后，訪問(wèn)它們的任意一個(gè)接口，都會(huì)重定向到CAS Server的登錄頁(yè)面，只要完成一次登錄，再訪問(wèn)兩個(gè)系統(tǒng)的任意接口都可以直接進(jìn)入，無(wú)需再登錄了，從而實(shí)現(xiàn)了SSO。

那么CAS和我們熟知的OAuth2.0協(xié)議有什么區(qū)別呢？

1. OAuth2是三方授權(quán)協(xié)議，允許用戶在不提供賬號(hào)密碼的情況下，通過(guò)信任的應(yīng)用進(jìn)行授權(quán)，使其客戶端可以訪問(wèn)權(quán)限范圍內(nèi)的資源。
2. CAS是中央認(rèn)證服務(wù)協(xié)議，一個(gè)基于票據(jù)方式實(shí)現(xiàn) SSO 單點(diǎn)登錄的框架，為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄解決方法。
3. CAS 的單點(diǎn)登錄是保障客戶端的用戶資源的安全 ，而OAuth2 則是保障服務(wù)端的用戶資源的安全。

CAS 客戶端要獲取的最終信息是，這個(gè)用戶到底有沒(méi)有權(quán)限訪問(wèn)我（CAS 客戶端）的資源；OAuth2 獲取的最終信息是，我（oauth2 服務(wù)提供方）的用戶的資源到底能不能讓你（oauth2 的客戶端）訪問(wèn)。

因此，需要統(tǒng)一的賬號(hào)密碼進(jìn)行身份認(rèn)證，用 CAS；需要授權(quán)第三方服務(wù)使用我方資源，使用OAuth2

最后，CAS不僅支持SSO實(shí)現(xiàn)方案中的CAS協(xié)議，還支持OAuth2、SAML等協(xié)議，具體可以參考官方文檔。

參考文檔

CAS - Getting Started Guide (apereo.github.io)

基于CAS實(shí)現(xiàn)SSO單點(diǎn)登錄 - 知乎 (zhihu.com)文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-609659.html

到了這里，關(guān)于多系統(tǒng)使用CAS實(shí)現(xiàn)SSO登錄案例的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！