隨著企業(yè)的發(fā)展，一個大型系統(tǒng)里可能包含 n 多子系統(tǒng), 用戶在操作不同的系統(tǒng)時，需要多次登錄，很麻煩，我們需要一種全新的登錄方式來實現(xiàn)多系統(tǒng)應(yīng)用群的登錄，這就是單點登錄。

• web 系統(tǒng) 由單系統(tǒng)發(fā)展成多系統(tǒng)組成的應(yīng)用群，復(fù)雜性應(yīng)該由系統(tǒng)內(nèi)部承擔(dān)，而不是用戶。無論 web 系統(tǒng)內(nèi)部多么復(fù)雜，對用戶而言，都是一個統(tǒng)一的整體，也就是說，用戶訪問 web 系統(tǒng)的整個應(yīng)用群與訪問單個系統(tǒng)一樣，登錄/注銷 只要1次就夠了

SSO 定義

• SSO（Single sign-on） 即單點登錄，一種對于許多相互關(guān)聯(lián)，但是又是各自獨立的軟件系統(tǒng)，提供訪問控制的方法

• SSO（Single sign-on） 是比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO（Single sign-on）定義是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)

以游樂場的通票為例： 我們只要買一次通票，就可以玩所有游樂場內(nèi)的設(shè)施，而不需要在過山車或者摩天輪那里重新買一次票。在這里，買票就相當(dāng)于登錄認(rèn)證，游樂場就相當(dāng)于使用一套 SSO 的公司，各種游樂設(shè)施就相當(dāng)于公司的各個產(chǎn)品。

類比到各個子系統(tǒng)認(rèn)證，如圖

SSO 三種類型

• 各子系統(tǒng)在同一個站點下

• 各子系統(tǒng)在相同的頂級域名下同一個站點和相同頂級域下的單點登錄是利用了 Cookie 頂域共享的特性。目前數(shù)棧都是只需要在 UIC 的登錄頁面進(jìn)行一次登錄就可以在各個子應(yīng)用之間進(jìn)行跳轉(zhuǎn)，這種操作源于根據(jù)設(shè)置 Cookie 中的 domain 為頂級域名。

• 各子系統(tǒng)屬于不同的頂級域如果屬于不同的域，不同域之間的 Cookie 是不共享的。怎么辦？接下來就要說一說 CAS (Central Authentication Service) 流程了，這個流程是單點登錄的標(biāo)準(zhǔn)流程

CAS (Central Authentication Service)CAS 是什么??Central Authentication Service ——— 中央認(rèn)證服務(wù)，是 Yale 大學(xué)發(fā)起的一個企業(yè)級的、開源的項目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的 SSO 解決方案。只是 SSO 解決方案的一種，它的流程其實跟 Cookie-session 模式是一樣的，單點登錄等于說是每個子系統(tǒng)都擁有一套完整的 Cookie-session 模式，再加上一套 Cookie-session 模式的 SSO 系統(tǒng)。另外，搜索公眾號Linux就該這樣學(xué)后臺回復(fù)“電子書”，獲取一份驚喜禮包。

第一次訪問 APP1:

1. 用戶訪問 APP1，需要登錄的時候會重定向到 CAS Server

2. 在 CAS Server 進(jìn)行賬號密碼認(rèn)證，CAS Server 會保存 session，并生成 sessionId 返回給 SSO Client，SSO Client 寫入當(dāng)前域的 Cookie，同時根據(jù) TGT 簽發(fā)1個 ST 傳入 APP1

3. APP1 攜帶 ST 向 CAS Server 請求校驗

4. CAS Server 校驗成功后，返回 登錄態(tài)給 APPI 服務(wù)端

5. APPI 服務(wù)端 將 登陸態(tài)寫入 session 并生成 sessionId 返回給 APPI Client

6. 之后再做登錄認(rèn)證，就是同域下的認(rèn)證了

第一次訪問 APP2:

1. 用戶訪問系統(tǒng) APP2，當(dāng)跳到 SSO 里準(zhǔn)備登錄的時候發(fā)現(xiàn) SSO 已經(jīng)登錄了，那 SSO 生成一個 ST，攜帶該 ST 傳入 APP2

2. APP2 攜帶 ST 向 CAS Server 請求校驗

3. CAS Server 校驗成功后，返回 登錄態(tài)給 APP2 服務(wù)端

4. APP2 服務(wù)端 將 登陸態(tài)寫入 session 并生成 sessionId 返回給 APPI Client

5. 在這個流程里，APP2 就不用走登錄流程了

CAS 票據(jù)TGT?**CAS Server **創(chuàng)建TGT，存在 CAS Server 的 Session 里面，根據(jù)用戶信息簽發(fā)的TGC?創(chuàng)建 TGT 的同時，生成 TGC。通過 CAS Server 的 response header 的 set-cookie 字段設(shè)置 TGC，唯一標(biāo)識用戶身份（sessionId) STST?根據(jù) TGT 簽發(fā)的 ST，是 CAS 為用戶簽發(fā)的訪問某一 service 的票據(jù)

CAS 單點登錄(SSO) & 單點登出(SLO)單點登錄(SSO)

第一次訪問 APP1:

1. 訪問 APP1 服務(wù)地址，APP1 請求未通過認(rèn)證，重定向至 CAS Server 地址。

2. 訪問 CAS Server 地址，發(fā)送認(rèn)證請求，帶上 Cookie。

3. CAS Server 識別出用戶沒有 Cookie 信息，沒有登錄，返回 CAS 登陸頁地址。

4. 用戶輸入正確的賬戶密碼，CAS Server 用戶認(rèn)證通過，創(chuàng)建 SSO Session。

5. 重定向回 APP1 的服務(wù)地址，并在 cookie 中創(chuàng)建了 CASTGC，TGC 中包含了 Ticket（TGT），TGT 就是 SSO Session 的 key。

6. 訪問 APP1 的服務(wù)地址，并帶上 ST，客戶端拿到 ST 向CAS Server進(jìn)行認(rèn)證。

7. CAS Server 認(rèn)證成功，返回響應(yīng)信息給 APPI

8. APPI 拿到成功的響應(yīng)后，設(shè)置 Session，并重定向回 APP1 的地址，并設(shè)置 Cookie JSESSIONID。

9. APPI 發(fā)起請求，帶上 Cookie 中的信息，其中 JSESSIONID 用來確定當(dāng)前用戶所對應(yīng)的 session 信息，發(fā)送給客戶端進(jìn)行校驗。

10. 客戶端使用 JSESSIONID 與 Session 中存儲的數(shù)據(jù)進(jìn)行校驗。

11. 校驗通過，返回正確的內(nèi)容，展示 APP1

第二次訪問 APP1:

1. APPI 發(fā)起請求，并帶上 Cookie 中的 JSESSIONID 給 APPI 服務(wù)端。

2. APPI 服務(wù)端 使用 JSESSIONID 與 Session 中存儲的數(shù)據(jù)進(jìn)行校驗。

3. 校驗通過，返回正確的內(nèi)容，展示 APP1 。

在 APP1 登陸成功的情況下，第一次訪問 APP2:

1. 訪問 APP2 服務(wù)地址，APP2 請求未通過認(rèn)證，重定向至 CAS Server 地址。

2. 訪問 CAS Server 地址，發(fā)送認(rèn)證請求，帶上 TGT 信息。

3. CAS Server 通過 TGT 去查找 SSO 的信息進(jìn)行認(rèn)證。

4. 認(rèn)證通過，生成票據(jù) ST 重定向至 APP2 的服務(wù)地址。

5. APP2 服務(wù) 攜帶 ST 向 CAS Server 進(jìn)行認(rèn)證。

6. CAS Server 認(rèn)證成功，返回客戶端通過的響應(yīng)。

7. 客戶端拿到成功的響應(yīng)后，設(shè)置 Session，并重定向至 APP2 的地址，并設(shè)置 CookieMOD_AUTH_CAS_S。

8. APP2 發(fā)起請求，帶上 Cookie 中的 MOD_AUTH_CAS_S ，發(fā)送給客戶端進(jìn)行校驗。

9. 客戶端使用 MOD_AUTH_CAS_S 與 Session 中存儲的數(shù)據(jù)進(jìn)行校驗。

10. 校驗通過，返回正確的內(nèi)容，展示 APP2。

官方時序圖單點登出(SLO)

1. 在 APP1 平臺 請求退出登錄后, 先在 query 中 攜帶 service 字段 重定向 CAS 登出地址

2. 用戶攜帶 service query 字段和 CASTGC 請求到 CAS Server

3. CAS Server 根據(jù) CASTGC 找到 TGT的信息，刪除 TGT 完成 CAS 的注銷

4. CAS Server 可以在 TGT 中拿到關(guān)聯(lián)的所有 ST, 根據(jù) ST 找到對應(yīng)的應(yīng)用注冊信息，調(diào)用其中的 logoutUrl，把 ST 包裝到 logoutRequest 發(fā)送給 APP1

5. APP1 根據(jù) logoutRequest 找到 ST ，查找 Session 中以 ST 為鍵的值刪除，清除登陸狀態(tài)

6. APP1 登出成功

7. APP2 根據(jù) logoutRequest 找到 ST ，查找 Session 中以 ST 為鍵的值刪除，清除登陸狀態(tài)

8. APP2 登出成功