CAS单点登录原理分析(一)

2023-02-27 01:04:02Python07

CAS单点登录原理分析(一),第1张

一，业务分析

在分布式系统架构中，假设把上述的三个子系统部署在三个不同的服务器上。前提是用户登录之后才能访问这些子系统。那么使用传统方式，可能会存在这样的问题：

1.当访问用户中心，需要用户登录帐号

2.当访问购物车，还需要用户登录帐号

3.当访问商品结算，又一次需要用户登录帐号

访问每一个子系统都需要用户登录帐号，这样的体验对于用户来说是极差。而使用单点登录就可以很好地解决上述的问题。

二，单点登录

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的 session 是无法解决的，我们需要使用相关的单点登录技术来解决。

第一步：用户访问应用系统1。过滤器判断用户是否登录，没有登录，则重定向（302）到认证系统去进行认证操作。

第二步：重定向到认证系统，显示登录界面，用户输入用户名密码。认证系统将用户登录的信息记录到服务器的session中。

第三步：认证系统给浏览器发送一个特殊的凭证ticket，浏览器将凭证交给应用系统1，应用系统1则拿着浏览器交给他的凭证ticket去认证系统验证凭证ticket是否有效。凭证ticket若是有效，将用户信息保存到应用系统1的session中一份，并告知应用系统1，用户通过认证。

第四步：用户通过认证，浏览器与网站之间进行正常的访问。

第五步：当用户再次访问应用系统1，由于应用系统1的session中有用户信息，所以就不用经过认证系统认证，就可以直接访问应用系统1了。

第六步：当用户再去访问其他应用系统时，浏览器会带着凭证ticket过去，其他应用系统到认证系统验证凭证，凭证ticket若是有效，将用户信息保存到其他应用系统的session中一份，并告知其他应用系统，用户通过认证。

第七步：用户通过认证，浏览器与网站之间进行正常的访问。

第八步：当用户再次访问其他应用系统，由于其他应用系统的session中有用户信息，所以就不用经过认证系统认证，就可以直接访问其他应用系统了。

三、Yelu大学研发的CAS(Central Authentication Server)

1.什么是CAS？

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：

【1】开源的企业级单点登录解决方案。

【2】CAS Server 为需要独立部署的 Web 应用。这个CAS框架已经提供

【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。下图是 CAS 最基本的协议过程：

2.CAS的详细登录流程

该图主要描述

1.第一次访问http://shopping.xiaogui.com

2.在登录状态下第二次访问http://shopping.xiaogui.com

3.在登录状态下第一次访问http://pay.xiaogui.com

下面对图中序号代表的操作进行说明

当用户第一次访问http://shopping.xiaogui.com

序号1: 用户请求http://shopping.xiaogui.com，会经过AuthenticationFilter认证过滤器(在cas client 的web.xml中配置)

主要作用：判断是否登录，如果没有登录则重定向到认证中心。

大概知道这个就行，CAS的具体实现会在以后的博客中写道

序号2: AuthenticationFilter发现用户没有登录，则返回浏览器重定向地址。

重定向的地址就是认证服务器CAS Server的地址，后面的参数是我们请求的客户端地址，这个参数目的就是为了认证成功以后，根据这个参数的地址重定向回请求的客户端

序号3: 浏览器根据响应回来的重定向地址，向cas.xiaogui.com认证系统发出请求

序号4: 认证系统cas.xiaogui.com接收请求，响应登陆页面

序号5: ：用户登陆页面输入用户名密码，提交请求

序号6: ：CAS Server 认证服务器接收用户名和密码，就行验证，验证逻辑CAS Server 已经实现，并响应给浏览器信息

这里的用户名，密码不需要关心，后续会讲到

图中1，2部分表示序号5 输入的用户名，密码，以及发出的请求。当认证服务器验证通过之后，根据请求参数service的值，进行重定向，其实就是回到了请求的客户端，同时会携带一个ticket令牌参数。同时会在Cookie中设置一个TGC，该cookie是网站认证系统cas.xiaogui.com的cookie，只有访问这个网站才会携带这个cookie过去。

*****注意：这个携带TGC的Cookie是实现CAS单点登录的关键所在！

Cookie中的TGC：向cookie中添加该值的目的是当下次访问cas.xiaogui.com认证系统时，浏览器将Cookie中的TGC携带到服务器，服务器根据这个TGC，查找与之对应的TGT。从而判断用户是否登录过了，是否需要展示登录页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。

TGT：Ticket Granted Ticket（俗称大令牌，或者说票根，他可以签发ST）

TGC：Ticket Granted Cookie（cookie中的value），存在Cookie中，根据他可以找到TGT。

ST：Service Ticket （小令牌），是TGT生成的，默认是用一次就生效了。也就是上面数字3处的ticket值。

序号7: 客户端拿到请求中的ticket信息，也就是图中1的位置

然后经过一个ticket过滤器Cas20ProxyReceivingTicketValidationFilter，去认证系统CAS Server判断ticket是否有效

这个过滤器的主要工作就是校验客户端传过来的ticket是否有效

CAS Client 客户端 shopping.xiaogui.com 中web.xml的配置

序号8: 向CAS Server认证系统发出验证ticket的请求，也就是图中2的位置，然后执行ticket验证

序号9: 通过校验之后，把用户信息保存到客户端的session中，并把客户端的SessionID设置在Cookie中，同时告知客户端ticket有效。当用户再次访问该客户端，就可以根据Cookie 中的SessionID找到客户端的Session，获取用户信息，就不用再次进行验证了。也就是图中响应给浏览器的部分。

序号10: shopping.xiaogui.com客户端接收到cas-server的返回，知道了用户已经登录，ticket有效，告知浏览器可以进行访问。

至此，用户第一次访问流程结束。

当用户第二次访问http://shopping.xiaogui.com

序号11: 当用户第二次访问，仍然会经过AuthenticationFilter过滤器，但与第一次访问不同的是此时客户端session中已经存在用户的信息，浏览器中的Cookie会根据SessionID找到Session，获取用户信息，所以不需要进行验证，可以直接访问。

序号12: 客户端告知浏览器可以进行访问。

当用户第一次访问http://pay.xiaogui.com

序号13: 用户向pay.xiaogui.com CAS Client客户端发出请求

序号14: ：pay.xiaogui.com接收到请求，发现第一次访问，于是给他一个重定向的地址，让他去找认证中心登录。

序号15: 浏览器根据上面响应的地址，发起重定向，因为之前访问过一次了，因此这次会携带上次返回的Cookie：TGC到认证中心。

序号16: 认证中心收到请求，发现TGC对应了一个TGT，于是用TGT签发一个ticket，并且返回给浏览器，让他重定向到pay.xiaogui.comCAS Client客户端。

序号17: 根据上面响应回来的地址，进行重定向到pay.xiaogui.comCAS Client客户端

序号18: pay.xiaogui.comCAS Client客户端带着ticket去认证中心验证是否有效。

序号19: 认证成功，把用户信息保存到客户端的session中，并把客户端的SessionID设置在Cookie中。当用户下次访问pay.xiaogui.comCAS Client客户端，直接登录，无需验证。

序号20: 告知浏览器可以进行访问

CAS单点登录的原理分析大致就是上述的这些，至于CAS单点登录的具体实现，将在下篇博客中写道。

假设您有一个可以工作的 Ruby 应用程序，并且需要向其添加电子邮件传递功能。这可能与用户身份验证或任何其他类型的事务性电子邮件有关，这没有什么区别。本教程旨在帮助您实现使用 Ruby 发送电子邮件。

用 Ruby 发送电子邮件的选项

大多数情况下，你可以从三个选项中选择一个。

最简单的方法是使用 Net: : SMTP 类。它提供了通过 SMTP 发送电子邮件的功能。该选项的缺点是 Net: : SMTP 缺少撰写电子邮件的功能。你可以自己创建，但这需要时间。

第二种选择是使用专用的 Ruby gem，如 Mail、 Pony 或其他。这些解决方案使您能够以简单有效的方式处理电子邮件活动。Action Mailer 是一个完美的电子邮件解决方案，通过 Rails 的棱镜。而且，很有可能，这将是你的选择。

第三个选项是类 Socket。通常，这个类允许您设置流程之间或流程内部的通信。因此，电子邮件发送也可以用它来实现。然而，事实是 Socket 并没有为您提供广泛的功能，您也不太可能想要使用它。

现在，让我们尝试使用所描述的每个解决方案发送电子邮件。

如何通过 Net: : SMTP 在 Ruby 中发送电子邮件

根据我的经验，在一个普通的 web 应用程序中使用这个选项是不常见的。但是，如果您在某些物联网设备上使用 mruby (Ruby 语言的一种轻量级实现) ，那么通过 Net: : SMTP 发送电子邮件可能是合适的。此外，如果在无服务器计算中使用，例如 AWS Lambda，它也会这样做。首先查看这个脚本示例，然后我们将详细介绍它。

Ruby 露比

这是一个通过 SMTP 发送文本电子邮件的简单示例(可以在这里找到官方文档)。您可以看到四个标题: 发件人、收件人、主题和日期。请记住，您必须将它们与电子邮件正文中的空行分开。同样重要的是连接到 SMTP 服务器。

Net::SMTP.start('your.smtp.server', 25) do |smtp|

Start (‘ your.smtp.server’，25) do | smtp |

自然，这里将显示您的数据，而不是“ your.smtp.server”，并且25是默认端口号。如果需要，可以指定其他详细信息，如用户名、密码或身份验证方案(普通、登录和 cram _ md5)。它可能看起来如下:

`Net::SMTP.start('your.smtp.server', 25, ‘localhost’, ‘username’, ‘password’ :plain) do |smtp|`

在这里，您将使用纯文本格式的用户名和密码连接到 SMTP 服务器，客户机的主机名将被标识为 localhost。

之后，可以使用 send _ message 方法并将发送方和接收方的地址指定为参数。

Start (‘ Net: : SMTP.start (‘ your.SMTP.server’，25) do | SMTP |’)的块形式将自动关闭 SMTP 会话。

在 Ruby Cookbook 中，使用 Net: : SMTP 库发送电子邮件被称为极简主义，因为您必须手动构建电子邮件字符串。尽管如此，这并不像你想象的那样没有希望。让我们看看如何用 HTML 内容增强电子邮件，甚至添加附件。

在网上发送 HTML 电子邮件: : SMTP

查看这个引用消息部分的脚本示例。

Ruby

除了消息体中的 HTML 标记之外，我们还有两个额外的头: MIME-Version 和 Content-type。MIME 指的是 MIME。它是 Internet 电子邮件协议的扩展，允许您在单个消息体中组合不同的内容类型。MIME-Version 的值通常为1.0。它指示消息是 MIME 格式的

至于 Content-type 头，一切都很清楚。在我们的示例中，有两种类型-HTML 和纯文本。另外，确保使用定义的边界分隔这些内容类型。

除了 MIME-Version 和 Content-type，您可以使用其他 MIME 头:

内容-传输-编码-表示二进制到文本的编码方案(7位、 Quoted-printable、 base64、8位或二进制)。

在网上发送带附件的电子邮件: : SMTP

- Content-Disposition-指定表示样式(内联或附件)

让我们添加一个附件，例如 PDF 文件。在这种情况下，我们需要将 Content-type 更新为 multipart/mix。另外，使用 pack (“ m”)函数用 base64编码对附加文件进行编码。

Ruby

之后，你需要定义你的电子邮件的三个部分。

第1部分-主要标题

第2部分-消息行动

第三部分-附件

现在，我们可以把所有的部分放在一起，并最终确定剧本。这就是它看起来的样子: