1承边、基于Cookie的單點(diǎn)登錄的回顧

基于Cookie的單點(diǎn)登錄核心原理：

? ? ? 將用戶名密碼加密之后存于Cookie中润努，之后訪問網(wǎng)站時(shí)在過濾器（filter）中校驗(yàn)用戶權(quán)限，如果沒有權(quán)限則從Cookie中取出用戶名密碼進(jìn)行登錄双霍，讓用戶從某種意義上覺得只登錄了一次。

? ? ? 該方式缺點(diǎn)就是多次傳送用戶名密碼，增加被盜風(fēng)險(xiǎn)栅屏，以及不能跨域。同時(shí)www.qiandu.com與mail.qiandu.com同時(shí)擁有登錄邏輯的代碼堂鲜，如果涉及到修改操作栈雳，則需要修改兩處。

2缔莲、統(tǒng)一認(rèn)證中心方案原理

? ? ? 在生活中我們也有類似的相關(guān)生活經(jīng)驗(yàn)哥纫，例如你去食堂吃飯，食堂打飯的阿姨（www.qiandu.com）告訴你痴奏，不收現(xiàn)金蛀骇。并且告訴你，你去門口找換票的（passport.com）換小票读拆。于是你換完票之后擅憔，再去找食堂阿姨，食堂阿姨拿著你的票檐晕，問門口換票的暑诸，這個(gè)票是真的嗎？換票的說辟灰，是真的个榕，于是給你打飯了。

? ? ? 基于上述生活中的場(chǎng)景芥喇，我們將基于Cookie的單點(diǎn)登錄改良以后的方案如下：

經(jīng)過分析笛洛，Cookie單點(diǎn)登錄認(rèn)證太過于分散，每個(gè)網(wǎng)站都持有一份登陸認(rèn)證代碼乃坤。于是我們將認(rèn)證統(tǒng)一化苛让，形成一個(gè)獨(dú)立的服務(wù)。當(dāng)我們需要登錄操作時(shí)湿诊，則重定向到統(tǒng)一認(rèn)證中心http://passport.com狱杰。于是乎整個(gè)流程就如上圖所示：

第一步：用戶訪問www.qiandu.com。過濾器判斷用戶是否登錄厅须，沒有登錄仿畸，則重定向（302）到網(wǎng)站http://passport.com。

第二步：重定向到passport.com，輸入用戶名密碼错沽。passport.com將用戶登錄的信息記錄到服務(wù)器的session中簿晓。

第三步：passport.com給瀏覽器發(fā)送一個(gè)特殊的憑證，瀏覽器將憑證交給www.qiandu.com千埃，www.qiandu.com則拿著瀏覽器交給他的憑證去passport.com驗(yàn)證憑證是否有效憔儿，從而判斷用戶是否登錄成功。

第四步：登錄成功放可，瀏覽器與網(wǎng)站之間進(jìn)行正常的訪問谒臼。

3、Yelu大學(xué)研發(fā)的CAS(Central Authentication Server)

下面就以耶魯大學(xué)研發(fā)的CAS為分析依據(jù)耀里，分析其工作原理蜈缤。首先看一下最上層的項(xiàng)目部署圖：

部署項(xiàng)目時(shí)需要部署一個(gè)獨(dú)立的認(rèn)證中心（cas.qiandu.com），以及其他N個(gè)用戶自己的web服務(wù)冯挎。

認(rèn)證中心：也就是cas.qiandu.com底哥，即cas-server。用來提供認(rèn)證服務(wù)房官，由CAS框架提供趾徽，用戶只需要根據(jù)業(yè)務(wù)實(shí)現(xiàn)認(rèn)證的邏輯即可。

用戶web項(xiàng)目：只需要在web.xml中配置幾個(gè)過濾器易阳，用來保護(hù)資源附较，過濾器也是CAS框架提供了吃粒，即cas-client潦俺，基本不需要改動(dòng)可以直接使用。

4徐勃、CAS的詳細(xì)登錄流程

上圖是3個(gè)登錄場(chǎng)景，分別為：第一次訪問www.qiandu.com、第二次訪問讥巡、以及登錄狀態(tài)下第一次訪問mail.qiandu.com缅叠。

下面就詳細(xì)說明上圖中每個(gè)數(shù)字標(biāo)號(hào)做了什么，以及相關(guān)的請(qǐng)求內(nèi)容臀脏，響應(yīng)內(nèi)容劝堪。

4.1、第一次訪問www.qiandu.com

標(biāo)號(hào)1：用戶訪問http://www.qiandu.com揉稚，經(jīng)過他的第一個(gè)過濾器（cas提供秒啦，在web.xml中配置）AuthenticationFilter。

? ? ? 過濾器全稱：org.jasig.cas.client.authentication.AuthenticationFilter

? ? ? 主要作用：判斷是否登錄搀玖，如果沒有登錄則重定向到認(rèn)證中心余境。

標(biāo)號(hào)2：www.qiandu.com發(fā)現(xiàn)用戶沒有登錄，則返回瀏覽器重定向地址。

? ? ? 首先可以看到我們請(qǐng)求www.qiandu.com芳来，之后瀏覽器返回狀態(tài)碼302含末，然后讓瀏覽器重定向到cas.qiandu.com并且通過get的方式添加參數(shù)service，該參數(shù)目的是登錄成功之后會(huì)要重定向回來即舌，因此需要該參數(shù)佣盒。并且你會(huì)發(fā)現(xiàn)，其實(shí)server的值就是編碼之后的我們請(qǐng)求www.qiandu.com的地址侥涵。

標(biāo)號(hào)3：瀏覽器接收到重定向之后發(fā)起重定向沼撕，請(qǐng)求cas.qiandu.com。

標(biāo)號(hào)4：認(rèn)證中心cas.qiandu.com接收到登錄請(qǐng)求芜飘，返回登陸頁面务豺。

? ? ? 上圖就是標(biāo)號(hào)3的請(qǐng)求，以及標(biāo)號(hào)4的響應(yīng)嗦明。請(qǐng)求的URL是標(biāo)號(hào)2返回的URL笼沥。之后認(rèn)證中心就展示登錄的頁面，等待用戶輸入用戶名密碼娶牌。

標(biāo)號(hào)5：用戶在cas.qiandu.com的login頁面輸入用戶名密碼奔浅，提交。

標(biāo)號(hào)6：服務(wù)器接收到用戶名密碼诗良，則驗(yàn)證是否有效汹桦，驗(yàn)證邏輯可以使用cas-server提供現(xiàn)成的，也可以自己實(shí)現(xiàn)鉴裹。

? ? ? 上圖就是標(biāo)號(hào)5的請(qǐng)求舞骆，以及標(biāo)號(hào)6的響應(yīng)了。當(dāng)cas.qiandu.com即csa-server認(rèn)證通過之后径荔，會(huì)返回給瀏覽器302督禽，重定向的地址就是Referer中的service參數(shù)對(duì)應(yīng)的值。后邊并通過get的方式挾帶了一個(gè)ticket令牌总处，這個(gè)ticket就是ST（數(shù)字3處）狈惫。同時(shí)會(huì)在Cookie中設(shè)置一個(gè)CASTGC，該cookie是網(wǎng)站cas.qiandu.com的cookie鹦马，只有訪問這個(gè)網(wǎng)站才會(huì)攜帶這個(gè)cookie過去胧谈。

? ? ??Cookie中的CASTGC：向cookie中添加該值的目的是當(dāng)下次訪問cas.qiandu.com時(shí)，瀏覽器將Cookie中的TGC攜帶到服務(wù)器荸频，服務(wù)器根據(jù)這個(gè)TGC菱肖，查找與之對(duì)應(yīng)的TGT。從而判斷用戶是否登錄過了试溯，是否需要展示登錄頁面蔑滓。TGT與TGC的關(guān)系就像SESSION與Cookie中SESSIONID的關(guān)系。

? ? ??TGT：Ticket Granted Ticket（俗稱大令牌，或者說票根键袱，他可以簽發(fā)ST）

? ? ??TGC：Ticket Granted Cookie（cookie中的value）燎窘，存在Cookie中，根據(jù)他可以找到TGT蹄咖。

? ? ??ST：Service Ticket （小令牌）褐健，是TGT生成的，默認(rèn)是用一次就生效了澜汤。也就是上面數(shù)字3處的ticket值蚜迅。

標(biāo)號(hào)7：瀏覽器從cas.qiandu.com哪里拿到ticket之后，就根據(jù)指示重定向到www.qiandu.com俊抵，請(qǐng)求的url就是上面返回的url谁不。

標(biāo)號(hào)8：www.qiandu.com在過濾器中會(huì)取到ticket的值，然后通過http方式調(diào)用cas.qiandu.com驗(yàn)證該ticket是否是有效的徽诲。

標(biāo)號(hào)9：cas.qiandu.com接收到ticket之后刹帕，驗(yàn)證，驗(yàn)證通過返回結(jié)果告訴www.qiandu.com該ticket有效谎替。

標(biāo)號(hào)10：www.qiandu.com接收到cas-server的返回偷溺，知道了用戶合法，展示相關(guān)資源到用戶瀏覽器上钱贯。

? ? ? 至此挫掏，第一次訪問的整個(gè)流程結(jié)束，其中標(biāo)號(hào)8與標(biāo)號(hào)9的環(huán)節(jié)是通過代碼調(diào)用的秩命，并不是瀏覽器發(fā)起尉共，所以沒有截取到報(bào)文。

4.2硫麻、第二次訪問www.qiandu.com

上面以及訪問過一次了爸邢，當(dāng)?shù)诙卧L問的時(shí)候發(fā)生了什么呢樊卓？

標(biāo)號(hào)11：用戶發(fā)起請(qǐng)求拿愧，訪問www.qiandu.com。會(huì)經(jīng)過cas-client碌尔，也就是過濾器浇辜，因?yàn)榈谝淮卧L問成功之后www.qiandu.com中會(huì)在session中記錄用戶信息，因此這里直接就通過了唾戚，不用驗(yàn)證了柳洋。

標(biāo)號(hào)12：用戶通過權(quán)限驗(yàn)證，瀏覽器返回正常資源叹坦。

4.3熊镣、訪問mail.qiandu.com

標(biāo)號(hào)13：用戶在www.qiandu.com正常上網(wǎng)，突然想訪問mail.qiandu.com，于是發(fā)起訪問mail.qiandu.com的請(qǐng)求绪囱。

標(biāo)號(hào)14：mail.qiandu.com接收到請(qǐng)求测蹲，發(fā)現(xiàn)第一次訪問，于是給他一個(gè)重定向的地址鬼吵，讓他去找認(rèn)證中心登錄扣甲。

? ? ? 上圖可以看到，用戶請(qǐng)求mail.qiandu.com齿椅，然后返回給他一個(gè)網(wǎng)址琉挖，狀態(tài)302重定向，service參數(shù)就是回來的地址涣脚。

標(biāo)號(hào)15：瀏覽器根據(jù)14返回的地址示辈，發(fā)起重定向，因?yàn)橹霸L問過一次了遣蚀，因此這次會(huì)攜帶上次返回的Cookie：TGC到認(rèn)證中心顽耳。

標(biāo)號(hào)16：認(rèn)證中心收到請(qǐng)求，發(fā)現(xiàn)TGC對(duì)應(yīng)了一個(gè)TGT妙同，于是用TGT簽發(fā)一個(gè)ST射富，并且返回給瀏覽器，讓他重定向到mail.qiandu.com

? ? ? 可以發(fā)現(xiàn)請(qǐng)求的時(shí)候是攜帶Cookie：CASTGC的粥帚，響應(yīng)的就是一個(gè)地址加上TGT簽發(fā)的ST也就是ticket胰耗。

標(biāo)號(hào)17：瀏覽器根據(jù)16返回的網(wǎng)址發(fā)起重定向。

標(biāo)號(hào)18：mail.qiandu.com獲取ticket去認(rèn)證中心驗(yàn)證是否有效芒涡。

標(biāo)號(hào)19：認(rèn)證成功柴灯，返回在mail.qiandu.com的session中設(shè)置登錄狀態(tài)，下次就直接登錄费尽。

標(biāo)號(hào)20：認(rèn)證成功之后就反正用想要訪問的資源了赠群。

5、總結(jié)

? ? ? 至此旱幼，CAS登錄的整個(gè)過程就完畢了查描。