1、基于Cookie的单点登录的回顾

基于Cookie的单点登录核心原理：

将用户名密码加密之后存于Cookie中，之后访问网站时在过滤器（filter）中校验用户权限，如果没有权限则从Cookie中取出用户名密码进行登录，让用户从某种意义上觉得只登录了一次。

该方式缺点就是多次传送用户名密码，增加被盗风险，以及不能跨域。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码，如果涉及到修改操作，则需要修改两处。

2、统一认证中心方案原理

在生活中我们也有类似的相关生活经验，例如你去食堂吃饭，食堂打饭的阿姨（www.qiandu.com）告诉你，不收现金。并且告诉你，你去门口找换票的（passport.com）换小票。于是你换完票之后，再去找食堂阿姨，食堂阿姨拿着你的票，问门口换票的，这个票是真的吗？换票的说，是真的，于是给你打饭了。

基于上述生活中的场景，我们将基于Cookie的单点登录改良以后的方案如下：

经过分析，Cookie单点登录认证太过于分散，每个网站都持有一份登陆认证代码。于是我们将认证统一化，形成一个独立的服务。当我们需要登录操作时，则重定向到统一认证中心http://passport.com。于是乎整个流程就如上图所示：

第一步：用户访问www.qiandu.com。过滤器判断用户是否登录，没有登录，则重定向（302）到网站http://passport.com。

第二步：重定向到passport.com，输入用户名密码。passport.com将用户登录的信息记录到服务器的session中。

第三步：passport.com给浏览器发送一个特殊的凭证，浏览器将凭证交给www.qiandu.com，www.qiandu.com则拿着浏览器交给他的凭证去passport.com验证凭证是否有效，从而判断用户是否登录成功。

第四步：登录成功，浏览器与网站之间进行正常的访问。

3、Yelu大学研发的CAS(Central Authentication Server)（中央认证服务）

特点：

1、开源的企业级单点登录解决方案。

2、CAS Server为需要独立部署的 Web 应用。

3、CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java、 .Net、PHP、Perl、Apache、uPortal、Ruby 等。

4、CAS属于Apache 2.0许可证，允许代码修改，再发布（作为开源或商业软件）。

下面就以耶鲁大学研发的CAS为分析依据，分析其工作原理。首先看一下最上层的项目部署图：

部署项目时需要部署一个独立的认证中心（cas.qiandu.com），以及其他N个用户自己的web服务。

认证中心：也就是cas.qiandu.com，即cas-server。用来提供认证服务，由CAS框架提供，用户只需要根据业务实现认证的逻辑即可。

用户web项目：只需要在web.xml中配置几个过滤器，用来保护资源，过滤器也是CAS框架提供了，即cas-client，基本不需要改动可以直接使用。

4、CAS的详细登录流程

上图是3个登录场景，分别为：第一次访问www.qiandu.com、第二次访问、以及登录状态下第一次访问mail.qiandu.com。

下面就详细说明上图中每个数字标号做了什么，以及相关的请求内容，响应内容。

4.1、第一次访问www.qiandu.com

标号1：用户访问http://www.qiandu.com，经过他的第一个过滤器（cas提供，在web.xml中配置）AuthenticationFilter。

过滤器全称：org.jasig.cas.client.authentication.AuthenticationFilter

主要作用：判断是否登录，如果没有登录则重定向到认证中心。

标号2：www.qiandu.com发现用户没有登录，则返回浏览器重定向地址。

首先可以看到我们请求www.qiandu.com，之后浏览器返回状态码302，然后让浏览器重定向到cas.qiandu.com并且通过get的方式添加参数service，该参数目的是登录成功之后会要重定向回来，因此需要该参数。并且你会发现，其实service的值就是编码之后的我们请求www.qiandu.com的地址。

标号3：浏览器接收到重定向之后发起重定向，请求cas.qiandu.com。

标号4：认证中心cas.qiandu.com接收到登录请求，返回登陆页面。

上图就是标号3的请求，以及标号4的响应。请求的URL是标号2返回的URL。之后认证中心就展示登录的页面，等待用户输入用户名密码。

标号5：用户在cas.qiandu.com的login页面输入用户名密码，提交。

标号6：服务器接收到用户名密码，则验证是否有效，验证逻辑可以使用cas-server提供现成的，也可以自己实现。

上图就是标号5的请求，以及标号6的响应了。当cas.qiandu.com即csa-server认证通过之后，会返回给浏览器302，重定向的地址就是Referer中的service参数对应的值。后边并通过get的方式挟带了一个ticket令牌，这个ticket就是ST（数字3处）。同时会在Cookie中设置一个CASTGC，该cookie是网站cas.qiandu.com的cookie，只有访问这个网站才会携带这个cookie过去。

Cookie中的CASTGC：向cookie中添加该值的目的是当下次访问cas.qiandu.com时，浏览器将Cookie中的TGC携带到服务器，服务器根据这个TGC，查找与之对应的TGT。从而判断用户是否登录过了，是否需要展示登录页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。

TGT：Ticket Granted Ticket（俗称大令牌，或者说票根、存根，他可以签发ST）。TGT 是CAS 为用户签发的登录ticket，也是用于验证用户登录成功的唯一方式。 TGT 封装了 Cookie 值以及 Cookie 值对应的用户信息，CAS 通过 Cookie 值（TGC）为 key 查询缓存中有无 TGT（TGC:TGT（key:value）），如果有的话就说明用户已经登录成。

TGC：Ticket Granted Cookie（cookie中的value），存在Cookie中，根据他可以找到TGT。CAS 会将生成的 TGT 放在session中，而 TGC 就是这个 session 的唯一标识(sessionId)，可以认为是 TGT 的key，为 TGT 就是 TGC 的 value，TGC 以 cookie 的形式保存在浏览器中，每个请求都会尝试携带 TGC。（每个服务都会在 session 和 cookie 中保存对应的 TGT 和 TGC）

ST：Service Ticket （小令牌或者说票），是TGT生成的，默认是用一次就失效了。也就是上面数字3处的ticket值。（通过TGT签发并验证ST）。ST 是当用户访问某一服务时提供的 ticket。用户在访问其他服务时，发现没有 cookie 或 ST ，那么就会302到 CAS 服务器获取 ST。然后会携带着 ST 302 回来。

标号7：浏览器从cas.qiandu.com哪里拿到ticket之后，就根据指示重定向到www.qiandu.com，请求的url就是上面返回的url。

标号8：www.qiandu.com在过滤器中会取到ticket的值，然后通过http方式调用cas.qiandu.com验证该ticket是否是有效的。

标号9：cas.qiandu.com接收到ticket之后，验证，验证通过返回结果告诉www.qiandu.com该ticket有效。

标号10：www.qiandu.com接收到cas-server的返回，知道了用户合法，展示相关资源到用户浏览器上。

至此，第一次访问的整个流程结束，其中标号8与标号9的环节是通过代码调用的，并不是浏览器发起，所以没有截取到报文。

4.2、第二次访问www.qiandu.com

上面以及访问过一次了，当第二次访问的时候发生了什么呢？

标号11：用户发起请求，访问www.qiandu.com。会经过cas-client，也就是过滤器，因为第一次访问成功之后www.qiandu.com中会在session中记录用户信息，因此这里直接就通过了，不用验证了。

标号12：用户通过权限验证，浏览器返回正常资源。

4.3、访问mail.qiandu.com

标号13：用户在www.qiandu.com正常上网，突然想访问mail.qiandu.com，于是发起访问mail.qiandu.com的请求。

标号14：mail.qiandu.com接收到请求，发现第一次访问，于是给他一个重定向的地址，让他去找认证中心登录。

上图可以看到，用户请求mail.qiandu.com，然后返回给他一个网址，状态302重定向，service参数就是回来的地址。

标号15：浏览器根据14返回的地址，发起重定向，因为之前访问过一次了，因此这次会携带上次返回的Cookie：TGC到认证中心。

标号16：认证中心收到请求，发现TGC对应了一个TGT，于是用TGT签发一个ST，并且返回给浏览器，让他重定向到mail.qiandu.com

可以发现请求的时候是携带Cookie：CASTGC的，响应的就是一个地址加上TGT签发的ST也就是ticket。

标号17：浏览器根据16返回的网址发起重定向。

标号18：mail.qiandu.com获取ticket去认证中心验证是否有效。

标号19：认证成功，返回在mail.qiandu.com的session中设置登录状态，下次就直接登录。

标号20：认证成功之后就反正用想要访问的资源了。

5、相关配置

一、CAS单点登录服务端的部署

部署

把CAS所对应的war包部署到tomcat中

配置
更改tomcat的端口号

<Connector URIEncoding="UTF-8" connectionTimeout="20000" port="8099" protocol="HTTP/1.1" redirectPort="8443"/>

更改cas.properties配置文件

server.name=http://localhost:8099

去除HTTPS的认证方式

　　在cas文件夹中中找到一下配置文件，并更改相应的配置

deployerConfigContext.xml 
<!-- Required for proxy ticket mechanism. --> 
<bean id = "proxyAuthenticationHandler" class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false"/> 
spring-configuration\ticketGrantingTicketCookieGenerator.xml 
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="false" p:cookieMaxAge="3600" p:cookieName="CASTGC" p:cookiePath="/cas" /> 
spring-configuration\warnCookieGenerator.xml 
<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="false" p:cookieMaxAge="3600" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />

二、CAS客户端的使用

加入cas客户端相关的依赖

<!-- cas -->  
<dependency>  <groupId>org.jasig.cas.client</groupId>  <artifactId>cas-client-core</artifactId>  <version>3.3.3</version>  
</dependency>

在web.xml文件中进行配置(过滤器)

- 单点登出的过滤器<!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->  <listener>  <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  </listener>  <!-- 该过滤器用于实现单点登出功能，可选配置。 -->  <filter>  <filter-name>CAS Single Sign Out Filter</filter-name>  <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  </filter>  <filter-mapping>  <filter-name>CAS Single Sign Out Filter</filter-name>  <url-pattern>/*</url-pattern>  </filter-mapping>  - 认证过滤器<!-- 该过滤器负责用户的认证工作，必须启用它 -->  <filter>  <filter-name>CASFilter</filter-name>  <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  <init-param>  <param-name>casServerLoginUrl</param-name>  <param-value>http://localhost:8099/cas/login</param-value>       <!--这里的server是服务端的IP --></init-param>  <init-param>  <param-name>serverName</param-name>  <param-value>http://localhost:9002</param-value>                 <!-- 当前应用的地址 --></init-param>  </filter>  <filter-mapping>  <filter-name>CASFilter</filter-name>  <url-pattern>/*</url-pattern>  </filter-mapping>  - 票据校验过滤器<!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->  <filter>  <filter-name>CAS Validation Filter</filter-name>  <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  <init-param>  <param-name>casServerUrlPrefix</param-name>  <param-value>http://localhost:8099/cas</param-value>        <!--这里的server是服务端的IP --></init-param>  <init-param>  <param-name>serverName</param-name>  <param-value>http://localhost:9002</param-value>            <!-- 当前应用的地址 --></init-param>  </filter>  <filter-mapping>  <filter-name>CAS Validation Filter</filter-name>  <url-pattern>/*</url-pattern>  </filter-mapping>  - 获取登录名所需要的过滤器<!-- 该过滤器负责实现HttpServletRequest请求的包裹， 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。 -->  <filter>  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  </filter>  <filter-mapping>  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  <url-pattern>/*</url-pattern>  </filter-mapping>  <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  <filter>  <filter-name>CAS Assertion Thread Local Filter</filter-name>  <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  </filter>  <filter-mapping>  <filter-name>CAS Assertion Thread Local Filter</filter-name>  <url-pattern>/*</url-pattern>  </filter-mapping>

三、单点退出

之前请求退出登录的地址： http://localhost:8099/cas/logout

如果退出完毕以后，我们需要跳转到指定的地址，这时我们就需要做一些配置；

CAS服务端的配置：cas-servlet.xml

<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"         p:servicesManager-ref="servicesManager"         p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

在进行退出的时候，就需要把要访问的目标地址作为参数传递过去：

http://localhost:8099/cas/logout?service=http://www.itcast.cn

四、配置数据源

在实际应用中，我们通常需要使用外部的数据源进行登陆操作，此时我们就需要对数据源进行相应的配置，配置方案如下：
修改deployerConfigContext.xml这个文件：1. 加入如下配置<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"  p:driverClass="com.mysql.jdbc.Driver"  p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"  p:user="root"  p:password="1234" /> <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"  c:encodingAlgorithm="MD5"  p:characterEncoding="UTF-8" /> <bean id="dbAuthHandler" class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"p:dataSource-ref="dataSource"p:sql="select password from tb_user where username = ?"p:passwordEncoder-ref="passwordEncoder"/>2. 修改原有的配置<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager"><constructor-arg><map><entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" /><entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver" /></map></constructor-arg><property name="authenticationPolicy"><bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" /></property></bean>3. 加入相关依赖

重点：CAS单点登陆系统和SpringSecurity安全框架的整合

1. 在pom.xml文件中加入依赖<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId><version>4.1.0.RELEASE</version></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-config</artifactId><version>4.1.0.RELEASE</version></dependency>2. 在web.xml文件中去配置委托代理过滤器DelegatingFilterProxy<filter><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern></filter-mapping><!-- 配置spring核心监听器ContextLoaderListener --><context-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-security.xml</param-value></context-param><listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener>3. 在spring-security.xml配置文件中进行配置认证的配置： <authentication-manager></authentication-manager>授权的配置： <http></http>2. 整合思路：CAS Client在使用的时候在web.xml文件中去配置了很多的过滤器Spring Security的原理  -----> Spring Security的功能实现也是通过过滤器进行实现的，在Spring Security中提供了很多的过滤器，如果我们把Spring Security所提供的过滤器配置到了web.xml文件中，那么web.xml的内容就比较繁琐； 为了简化开发Spring Security提供了一个过滤器链，在该过滤器链中去配置过滤器。整合的思路： 就是把CAS Client所使用到了的过滤器加入到Spring Security的过滤器链中步骤：1. 在pom.xml加入依赖<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-cas</artifactId><version>4.1.0.RELEASE</version></dependency><dependency><groupId>org.jasig.cas.client</groupId><artifactId>cas-client-core</artifactId><version>3.3.3</version><exclusions><exclusion><groupId>org.slf4j</groupId><artifactId>log4j-over-slf4j</artifactId></exclusion></exclusions></dependency>2. 在web.xml文件中去配置DelegatingFilterProxy<filter><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern></filter-mapping><!-- 配置spring核心监听器ContextLoaderListener --><context-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-security.xml</param-value></context-param><listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener>3. 修改spring-security.xml文件- 入口点的配置： 告诉我们的应用程序，现在要进行认证，请请求CAS完成<!--   entry-point-ref  入口点引用 --><http use-expressions="false" entry-point-ref="casProcessingFilterEntryPoint"><intercept-url pattern="/**" access="ROLE_USER"/>   <csrf disabled="true"/><!-- custom-filter为过滤器， position 表示将过滤器放在指定的位置上，before表示放在指定位置之前  ，after表示放在指定的位置之后  -->           <custom-filter ref="casAuthenticationFilter"  position="CAS_FILTER" />      <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>  <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/></http><!-- CAS入口点 开始 --><beans:bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">  <beans:property name="loginUrl" value="http://localhost:8099/cas/login"/>       <!-- 单点登录服务器登录URL --><beans:property name="serviceProperties" ref="serviceProperties"/>  </beans:bean>      <beans:bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">  <beans:property name="service" value="http://localhost:9003/login/cas"/>        <!--service 配置自身工程的根地址+/login/cas   --></beans:bean>  <!-- CAS入口点 结束 -->- 认证过滤器<!-- 认证过滤器 开始 --><beans:bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">  <beans:property name="authenticationManager" ref="authenticationManager"/>  </beans:bean><!-- 认证管理器 --><authentication-manager alias="authenticationManager"><authentication-provider  ref="casAuthenticationProvider"></authentication-provider></authentication-manager><!-- 认证提供者 --><beans:bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider">  <beans:property name="authenticationUserDetailsService">  <beans:bean class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">  <beans:constructor-arg ref="userDetailsService" />  </beans:bean>  </beans:property>  <beans:property name="serviceProperties" ref="serviceProperties"/>  <!-- ticketValidator 为票据验证器 --><beans:property name="ticketValidator">  <beans:bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">  <beans:constructor-arg index="0" value="http://localhost:8099/cas"/>  </beans:bean>  </beans:property>  <beans:property name="key" value="an_id_for_this_auth_provider_only"/> </beans:bean>        <!-- 认证类 --><beans:bean id="userDetailsService" class="cn.itcast.demo.service.UserDetailServiceImpl"/>  - 退出过滤器<!-- 认证过滤器 结束 --><!-- 单点登出  开始  完成真正的退出-->     <beans:bean id="singleLogoutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter"/>   <!-- 经过此配置，当用户在地址栏输入本地工程 /logout/cas ； 配置了退出地址的映射，目的：为了提高安全性 -->      <beans:bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">  <beans:constructor-arg value="http://localhost:8099/cas/logout?service=http://localhost:9003/index2.html"/>  <beans:constructor-arg>  <beans:bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>  </beans:constructor-arg>  <beans:property name="filterProcessesUrl" value="/logout/cas"/>  </beans:bean>  <!-- 单点登出  结束 -->