CAS认证流程解析-V1.0.doc

CAS认证流程解析 北京先进数通信息技术有限公司 EAIS 编写说明 标题：CAS认证流程解析 类别：文档 存放位置： 编辑软件：Microsoft Word XP 中文版 版本历史： 版本 作者 日期 备注 V1.0 梅光弦 2013-1-22 初稿 编写目的： 指导CAS新手熟悉CAS的认证流程。  目 录 编写说明 1 目 录 2 1. CAS原理描述 3 2. 用户请求如何进入CAS认证流程 3 3. WebFlow配置文件及源码分析 5 CAS原理描述 用户第一次访问CAS服务的客户端WEB应用时(访问URL:http://localhost:80/casClient/index.jsp)，部署在客户端Web应用的cas AuthenticationFilter会截过此请求，生产service参数，然后rediect到CAS服务的login接口，url为https://meigx:8443/cas/login?service= https://cas:8443/cas/login?service=http%3A%2F%2Flocalhost%3A80%2FcasClient%2Findex.jsp%2F，认证成功后，CAS服务器会生成认证cookie,写入浏览器，同时将缓存到本地服务器，CAS服务器还会根据service参数生成ticket,ticket会保存到服务器，也会加在url后面，然后请求redirect回客户端web应用，这时客户端AuthenticationFilter看到ticket参数后，会跳过，由其后面的TicketValidationFilter处理，TicketValidationFilter会利用httpclient工具访问cas服务的/serviceValidate接口,将ticket、service都传到此接口，由此接口验证ticket的有效性，TicketValidationFilter如果得到验证成功的消息，就会把用户信息写入web应用的session里。至此为止，SSO会话就建立起来了，以后用户在同一浏览器里访问此web应用时，AuthenticationFilter会在session里读取到用户信息，所以就不会去CAS认证。如果在此浏览器里访问别的web应用时，AuthenticationFilter在session里读取不到用户信息，会去CAS的 login接口认证，但这时CAS会读取到浏览器传来的cookie，所以CAS不会要求用户去登录页面登录，只是会根据service参数生 成一个ticket，然后再和web应用做一个验证ticket的交互。 用户请求如何进入CAS认证流程 用户访问CAS的客户端，请求被CAS客户端的拦截器AuthenticationFilter拦截并将请求重定向到CAS服务器端名为CAS的Servlet进行处理，也就是SafeDispatcherServlet进行处理。SafeDispatcherServlet继承HttpServlet，也就是说他只是一个普通的Servlet。该Servlet持有一个DispatcherServlet 属性delegate。这同struts的处理方式如出一辙。都是通过一个代理类来进行处理请求的。该类的初始化也仅仅是调用代理类delegate的初始化。可以看出DispatcherServlet类才是处理请求的关键类。DispatcherServlet类的完整路径org.springframework.web.servlet.DispatcherServlet，这里也就是将请求交给了spring MVC处理了。 Spring MVC核心配置文件是cas-servlet.xml。在该文件中，webflow将与springMVC进行集成。这里有一个问题，就是spring何时开始加载cas-servlet .xml文件的呢？原来，在初始化DispatcherServlet的时候，会自动加载 servlet-name+“-servlet.xml”文件。所以，cas-servlet.xml是自动加载的，不需要在配置文件进行配置。（参见关于springMVC的文章）交给spring MVC之后，spring MVC又将请求交给了 webflow处理。下面是webflow同spring MVC的结合： !-- 根据工作流定义，生成一个执行器 -- webflow:flow-executorid=flowExecutorflow-registry=flowRegistry webflow:flow-execution-attributes webflow:always-redirect