CAS__SSO协议简介.ppt

深圳市高新技术产业园区南区南七道T3大厦B三层 ADD：3/F,T3 Building,Nanqi Road,South Area Shenzhen Hi-Tech Industrial Park,Shenzhen, P.R.C 电话(TEL)：+86-755传真(FAX)：+86-755邮编(P.C.)：518057 --- Copyright ? 2007 by Shenzhen Tianyuan DIC Information Technology co.,ltd. 本文件是深圳天源迪科信息技术股份有限公司为@@公司所准备 未经天源迪科许可不得向第三方透露或用于其他目的 深圳市高新技术产业园区南区南七道T3大厦B三层 ADD：3/F,T3 Building,Nanqi Road,South Area Shenzhen Hi-Tech Industrial Park,Shenzhen, P.R.C 电话(TEL)：+86-755传真(FAX)：+86-755邮编(P.C.)：518057 --- 门户SSO(CAS)协议简介 研发二部 侯德才 * - * SSO(CAS)1.0 vs.SSO(CAS)2.0 SSO1.0 　SSO1.0也称为基础模式 　适用场合：参与SSO的应用都为Web应用，且各应用之间相互独立，没有复杂的集成关系。 SSO2.0 　SSO2.0称为代理模式 　适用场合： 参与SSO的应用存在非Web应用（SSO使用Cookie，故非Web应用不宜于直接做CAS的客户应用） 应用之间，存在集成关系。 * - * SSO协议内容 SSO协议定义了一组术语，一组票据，一组接口。 术语：Client、Server、Service、Proxy、Target。 接口：/login、/logout /validate、/serviceValidate、/proxyValidate /proxy 票据：TGT、ST、PGT、PGTIOU、PT Client、SSO Server、Service三者，是通过各种票据 的传递与验证，来实现单点认证功能的。 Ticket Grangting Ticket 。TGT是SSO为用户签发的登录票据，拥有了TGT，用户就可以证明自己在SSO成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。当HTTP请求到来时，SSO以此Cookie值为key查询缓存中有无TGT ，如果有的话，则相信用户已登录过。 Service Ticket 。ST是SSO为用户签发的访问某一service的票据。用户访问service时，service发现用户没有ST，则要求用户去SSO获取ST。用户向SSO发出获取ST的请求，SSO发现用户有TGT，则签发一个ST，返回给用户。用户拿着ST去访问service，service拿ST去SSO验证，验证通过后，允许用户访问资源。 Proxy TicketGranting Ticket。Proxy Service认证成功后，SSO会生成PGT，并将值回传给Proxy Service 。Proxy Service拿到PGT后，就可以为Target Service做代理，为其申请PT。 Proxy TicketGranting Ticket IOU。PGTIOU是SSO协议中定义的一种附加票据，它增强了传输、获取PGT的安全性。 Proxy Ticket。PT是用户访问Target Serivce的票据。用户经由Proxy Service去SSO获取到PT后，再访问Target Serivce，Target Serivce去SSO验证PT成功后，才允许用户访问。 SSO(CAS)1.0协议的动画显示 场景介绍： 在本演示中，用户先访问门户portal，去查看portlet，之后又去系统管理security，操作用户信息。 访问portal时，用户需要先去SSO(CAS)登录，之后访问security时， 就不需再次登录了。 SSO portal security 终端 早晨第一件事，登录portal http://portal/index.html 哈哈，第一次来，我给你redirect到SSO去！ redirect https://sso/login?service