CAS单点登陆的两个原理图
最近學習CAS單點登錄,所以在網上找了兩張比較清晰的原理圖以供參考:
【CAS瀏覽器請求認證序列圖】
其中:
*? ST:Service Ticket,用于客戶端應用持有,每個ST對應一個用戶在一個客戶端上
* TGT:Ticket Granting Ticket,存儲在CAS服務器端和用戶cookie兩個地方
【CAS服務器端登陸流程圖】
?
3.1.1. parameters
下面的HTTP請求的參數可通過/login,這時它作為憑證索取者。他們都是區分大小寫的,他們都必須處理/login。
·?????????service[可選] -客戶端嘗試訪問的應用的標識符。在幾乎所有情況下,這將是應用的URL。請注意,作為一個HTTP請求的參數,此URL的值必須是符合RFC?中URL編碼的描述。(詳情參見RFC 1738 [ 4 ]的第2.2節)。如果沒有指定service并且單點登錄session尚不存在,CAS應要求具有憑證的用戶發起一個單點登錄session。如果沒有指定service但單點登錄session已經存在,CAS應顯示一條消息,通知客戶,這是已經登錄
·?????????Renew[可選] -如果此參數設置,單點登錄將被繞過。在這種情況下,CAS將要求客戶提交證書,不論是否存在一個CAS的單點登錄session。這個參數與“gateway”參數不兼容。服務重定向到/login的URI和登錄表單視圖,張貼在/login的URI中的值不應同時出現在“renew”和“gateway”請求參數。兩個參數都設置這種行為是未定義的。CAS推薦:在實施時,如果設置“renew”參數則忽略“gateway”參數。推薦:當設置“renew”參數時,其值應該為“true”。
注:也就是說:https://server/cas/login?service=serviceUrl&renew=true&gateway=true這種參數傳遞是錯誤的,不能同時出現兩個參數。
注:CAS協議允許客戶端選擇是否跳出單點登錄,這就是renew。它允許一個客戶端通知CAS服務器總是驗證一個用戶,不管一個單點登錄的session是否存在。這是一個非常有用的屬性,當一個特定的使用CAS認證機制的服務允許訪問敏感資料時,它能強迫CAS重新認證一個用戶,確保登錄的是一個正確的用戶。這時,那個應經存在的單點登錄session應該是被終止的。使用這個屬性通知CAS重新驗證憑證時,客戶端應用應該中定向用戶到以下的URL上:
https://server/cas/login?service=serviceUrl&renew=true
當請求驗證這個票據時,客戶端可以要求CAS確保這個票據是來自一個新的認證請求。
應用場景可參見:部署的客戶端集成示例bookshop,改變該參數值,體驗效果。
·?????????Gateway[可選] -如果這個參數設定,CAS將不會向客戶端索要憑據。如果客戶端有一個已存在的CAS單點登錄的session,或者如果單點登錄session可以通過非交互方式(i.e. trust authentication,信托認證)建立,CAS可以將客戶端請求重定向到“service”參數指定的URL,而且還加上有效的服務票據(Service Ticket,ST)。?(CAS還可以插入一個通知頁面,通知客戶端一個CAS認證已經發生了。)
如果客戶端沒有CAS單點登錄的session,并且也不可能通過非交互方式建立認證,CAS必須將客戶端重定向到“service”參數指定的URL,并且不在URL后面附加“ticket”。如果“service”參數未指定但設置了“gateway”參數,CAS將認為這種行為未定義。在這種情況下推薦:如果兩個參數都沒有指定,CAS應要求憑據。同樣這個參數與“renew”參數不兼容。如果要設置“gateway”參數,推薦設置為“true”。
注:
應用場景可參見:部署的客戶端集成示例bookshop,改變該參數值,體驗效果。
???總結:“renew”參數的作用:在存在SSO session的情況下client請求訪問資源,是重新認證用戶信息還是不用認證放這個請求過去。
“gateway”參數的作用:與“renew”參數相反,“gateway=true”時是指只要存在SSO session就不用重新認證了。
Renew始終要求用戶進行主認證,所謂主認證就是借助于/login進行的認證操作,此時IE用戶必須手工提供自身的帳號信息。基于TGC、PT的登錄都不屬于主認證。相比之下,gateway始終不會允許CAS服務器丟出/login登錄頁面給IE用戶,從而不可能進行主認證。只要gateway=true則永遠進不到/login登錄頁面,只有確認用戶能從其他途徑得到SSO session才可以設置true。
轉載于:https://www.cnblogs.com/littlehb/p/8257966.html
總結
以上是生活随笔為你收集整理的CAS单点登陆的两个原理图的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: FFMPEG分析比较细的文章
- 下一篇: 【2019数学建模】国赛C题:机场出租车