CAS Protocol 3.0 Specification.docx 官方中文版教程详解

cas协议3.0 中文版教程详解 这是CAS协议 1.0，2.0和3.0版本的官方规范。 Central Authentication Service(以下简称CAS)是一个网络的单点登陆(SSO)/单点登出(SLO)协议。它允许用户在访问多个应用程序时，仅需向中央CAS服务器提供一次凭据(如userid和password) **CAS协议3.0详解** CAS（Central Authentication Service）是一种网络单点登录（SSO）/单点登出（SLO）协议。它的主要目的是在用户访问多个应用程序时，只需向中央CAS服务器提供一次凭证，如用户名和密码，从而简化身份验证流程。CAS协议有多个版本，包括1.0、2.0和3.0，其中3.0是较为成熟和功能完善的版本。 **关键术语** - **Client**：指的是终端用户和/或Web浏览器。 - **CAS Client**：是与Web应用程序集成并使用CAS协议与CAS服务器交互的软件组件。 - **Server**：指CAS中央身份验证服务服务器。 - **Service**：是客户端尝试访问的应用程序。 - **Back-end service**：是服务代表客户端尝试访问的应用程序，也称为“目标服务”。 - **SSO**：单点登录，用户只需要登录一次就可以访问所有相互信任的应用程序。 - **SLO**：单点登出，用户在一个应用中登出时，会同时在所有已登录的应用中登出。 - **<LF>**：空行，ASCII值为0x0a。 **参考实现** Apereo CAS Server是CAS协议规范的官方参考实现，支持CAS协议3.0。Apereo CAS Server 4.x/5.x版本可处理协议3.0的所有功能。 **CAS URIs** CAS协议基于HTTP，各个组件通过特定的URI进行通信： - **/login**：凭证请求和接受的入口，如果Web浏览器携带有效的TGC（Ticket-Granting Cookie），CAS服务器可能颁发ST（Service Ticket）。 - **/logout**：销毁CAS会话，实现用户登出。 - **/validate**：服务Ticket验证（CAS 1.0）。 - **/serviceValidate**：服务Ticket验证（CAS 2.0/3.0）。 - **/proxyValidate**：代理Ticket验证（CAS 2.0/3.0）。 - **/p3/serviceValidate**：服务Ticket验证（CAS 3.0）。 - **/p3/proxyValidate**：代理Ticket验证（CAS 3.0）。 **参数详解** 在/login URI中，以下HTTP请求参数可以作为凭证请求者传递： - **service [可选]**：标识客户端试图访问的应用程序的标识符，通常是应用程序的URL。如果未指定service且无SSO session，CAS应请求用户凭证；如果已存在SSO session，CAS应提示用户已登录。 - **renew [可选]**：若设置此参数，无论是否存在SSO session，CAS都会要求用户提供凭证，不使用已有的登录状态。 **协议流程** 1. 用户尝试访问受CAS保护的服务。 2. 服务将用户重定向到CAS服务器的/login URI。 3. 如果用户未登录，CAS显示登录页面，用户输入凭证。 4. CAS验证凭证，如果有效，生成TGT（Ticket-Granting Ticket）并存储在服务器端，同时创建TGC（Ticket-Granting Cookie）发送给客户端。 5. CAS生成ST（Service Ticket），用于授权访问特定服务，并将用户重定向回服务，ST作为查询参数附在URL上。 6. 服务收到ST后，向CAS服务器验证ST的有效性。 7. 如果验证成功，服务允许用户访问。 **安全性考虑** CAS协议3.0引入了更强的安全特性，如支持代理Ticket，允许服务代表用户访问其他受保护的服务。此外，通过TGT和TGC，CAS可以维护用户的SSO状态，同时在用户登出时，通过SLO协议清除所有相关服务的登录状态。 **总结** CAS协议3.0为开发人员提供了安全、高效的用户身份验证机制，尤其适合多应用环境。其核心是通过TGT和ST管理用户的登录状态，实现跨应用的单点登录和登出。理解并正确实施CAS协议3.0，对于构建安全的Web应用程序和服务生态系统至关重要。