CASSSO协议简介.ppt

Copyright 2007 by Shenzhen Tianyuan DIC Information Technology co.,ltd. 本文件是深圳天源迪科信息技术股份有限公司为公司所准备 未经天源迪科许可不得向第三方透露或用于其他目的 深圳市高新技术产业园区南区南七道T3大厦B三层 ADD：3/F,T3 Building,Nanqi Road,South Area Shenzhen Hi-Tech Industrial Park,Shenzhen, P.R.C 电话(TEL)：+86-755-26745688 传真(FAX)：+86-755-26745666 邮编(P.C.)：518057 - 门户SSO(CAS)协议简介 研发二部 侯德才 * - 2 SSO(CAS)1.0 vs.SSO(CAS)2.0 SSO1.0 SSO1.0也称为基础模式 适用场合：参与SSO的应用都为Web应用，且各应用之间相互独立，没 有复杂的集成关系。 SSO2.0 SSO2.0称为代理模式 适用场合： 参与SSO的应用存在非Web应用（SSO使用Cookie，故非Web应用不 宜于直接做CAS的客户应用） 应用之间，存在集成关系。 * - 3 SSO协议内容 SSO协议定义了一组术语，一组票据，一组接口。 术语：Client、Server、Service、Proxy、Target。 接口：/login、/logout /validate、/serviceValidate、/proxyValidate /proxy 票据：TGT、ST、PGT、PGTIOU、PT Client、SSO Server、Service三者，是通过各种票据 的传递与验证，来实现单点认证功能的。 Ticket Grangting Ticket 。TGT是SSO为用户签发的登 录票据，拥有了TGT，用户就可以证明自己在SSO 成功登录过。TGT封装了Cookie值以及此Cookie值 对应的用户信息。当HTTP请求到来时，SSO以此 Cookie值为key查询缓存中有无TGT ，如果有的话， 则相信用户已登录过。 Service Ticket 。ST是SSO为用户签发的访问某一service的票据。用 户访问service时，service发现用户没有ST，则要求用户去SSO获取 ST。用户向SSO发出获取ST的请求，SSO发现用户有TGT，则签发 一个ST，返回给用户。用户拿着ST去访问service，service拿ST去 SSO验证，验证通过后，允许用户访问资源。 Proxy TicketGranting Ticket。Proxy Service认证 成功后，SSO会生成PGT，并将值回传给Proxy Service 。Proxy Service拿到PGT后，就可以为 Target Service做代理，为其申请PT。 Proxy TicketGranting Ticket IOU。PGTIOU是 SSO协议中定义的一种附加票据，它增强了传 输、获取PGT的安全性。 Proxy Ticket。PT是用户访问Target Serivce的票据。 用户经由Proxy Service去SSO获取到PT后，再访问 Target Serivce，Target Serivce去SSO验证PT成功后 ，才允许用户访问。 SSO(CAS)1.0协议的动画显示 场景介绍： 在本演示中，用户先访问门户portal，去查看portlet ，之后又去系统管理security，操作用户信息。 访问portal时，用户需要先去SSO(CAS)登录，之后访问 security时， 就不需再次登录了。 SS O portal securi ty 终端 早晨第一件事，登录 portal http:/portal/index.html 哈哈，第一次来，我 给你redirect到SSO去 ！ redirect https:/sso/login?service=http:/portal/index.html 没有传cookie过来？ 那去登录页面登录吧 ！ 用户名/密码 电话密保 ok，认证成功，我生成Cookie、 TGT、ST，TGT我保存，Cookie,ST 返回到浏览器,浏览器可以用ST访问 portal了。 写Cookie到浏览器 redirect ST http:/portal/index.html?ticket= ST-1-qRPh34B1xhe4dquzz 好，收到ST了，我去 SSO验证一下 service=http:/portal/index.html ticket=ST-5-qRPh34B1xhe4dquzz ST验证成功，返回用户数据 好，我生成用户对象 ，你可以到portal页面 去了！ SS O Portal securi ty 终端 再登系统管理系统， 看看用户吧！ http:/security/index.html 哈哈，第一次来，没 有ST，去SSO申请一 个吧！ redirect TGC Cookie传过来了，我验证一下 是不是我生成的，哦，还真是，那 我用TGT签发一个ST，redirect给浏 览器吧 http:/security/index.html?ticket= ST-2-qRPh78V1xhe4dquzz 好，我去SSO验证一 下ST service=http:/security/index.html ticket=ST-2-qRPh78V1xhe4dquzz ST验证成功，返回用户数 据 OK，你可以查询用 户信息 哇，只输入了一次用户名/ 密码，就访问多个系统， 比原来强多了！ redirect ST https:/SSO/login?service=http:/security/index.html CASTGC CAS2.0协议的动画显示 场景介绍： Portal：企业用Portal整合了内部所有系统，员工可以直接登录Portal 去查看所有内部系统的信息。 Mail Server：老式C/S结构的邮件服务器。在Portal上线之前，员工只 能直接登录Mail Server去管理自己的邮件。 在本演示中，Portal是SSO的Proxy Service， Mail Server是Target Service。Mail Server 需要借助于Portal去登录。 用户登录Portal时，需要去SSO认证，之后在Portal上浏览邮件信息时， Mail Server会请求Portal为其申请PT，然后用PT去SSO验证，验证通过后， 才会返回邮件信息，这个过程，无需用户再次登录。 SS O 企业 Portal Mail Server终端 早晨第一件事，登录 Portal，看看公司动态 ，顺便看看邮件信息 ！ http:/portal/ 哈哈，第一次来，我 给你redirect到SSO去 ！ http:/sso//login?service=http:/portal/ 没有传cookie过来？ 那去登录页面登录吧 ！ 输入用户凭证，用户名/密码、电话密保 ok，认证成功，我生成TGC、TGT 、ST，TGT我保存，TGC返回到浏 览器、ST redirect回Portal 写TGC Cookie到浏览器 http:/portal?ticket=ST-1-qRPh34B1xhe4dquzz 好，收到ST了，我去 SSO验证一下,顺便把 pgtUrl传给它，让它生 成代理证PGT并传给我 ，我可是代理啊 service=http:/portal ticket= ST-1-qRPh34B1xhe4dquzz pgtIou pgtId 代理证来了，pgt是我 的代理证，pgtIou是我 取代理证的钥匙。我 要妥善保管！ 验证ST成功，返回用户数据 pgtIou 好，我根据用户数据生成 User对象，根据pgtIou取出 pgt,放入User对象。我当上代 理了！ SS O 企业 Portal Mail Server终端 http:/portal/mail 进去portal了，看下邮 件吧 MailServer也归CAS管，所以 想访问MailServer，必须得为 其申请一个PT，我是代理嘛 ，交给我了！ pgt targetService=mailServer 验证一下代理证pgt， 还有targetService，都 没问题，好，发放PT PT 把PT传给MailServer, 让