CAS协议分析CAS1.0vs.CAS2.0CAS1.0CAS1.0也称为基础模式适用场合：参与SSO的应用都为Web应用，且各应用之间相互独立，没有复杂的集成关系。CAS2.0CAS2.0称为代理模式适用场合：参与SSO的应用存在非Web应用（CAS使用Cookie，故非Web应用不宜于直接做CAS的客户应用）应用之间，存在集成关系。CAS协议内容CAS协议定义了一组术语，一组票据，一组接口。Client、Server、Service、Proxy、Target。/login、/logout/validate、/serviceValidate、/proxyValidate/proxyTGT、ST、PGT、PGTIOU、PTClient、CASServer、Service三者，是通过各种票据的传递与验证，来实现单点认证功能的。TicketGrangtingTicket。TGT是CAS为用户签发的登录票据，拥有了TGT，用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。当HTTP请求到来时，CAS以此Cookie值为key查询缓存中有无TGT，如果有的话，则相信用户已登录过。ServiceTicket。ST是CAS为用户签发的访问某一service的票据。用户访问service时，service发现用户没有ST，则要求用户去CAS获取ST。用户向CAS发出获取ST的请求，CAS发现用户有TGT，则签发一个ST，返回给用户。用户拿着ST去访问service，service拿ST去CAS验证，验证通过后，允许用户访问资源。ProxyTicketGrantingTicket。ProxyService认证成功后，CAS会生成PGT，并将值回传给ProxyService。ProxyService拿到PGT后，就可以为TargetService做代理，为其申请PT。ProxyTicketGrantingTicketIOU。PGTIOU是CAS协议中定义的一种附加票据，它增强了传输、获取PGT的安全性。ProxyTicket。PT是用户访问TargetSerivce的票据。用户经由ProxyService去CAS获取到PT后，再访问TargetSerivce，TargetSerivce去CAS验证PT成功后，才允许用户访问。CAS1.0协议的动画显示场景介绍：在本演示中，用户先访问广告合同管理系统ADM，去投放广告，之后又去资产系统AMS，查看资产信息。访问ADM时，用户需要先去CAS登录，之后访问AMS时，就不需再次登录了。服务器服务器便携电脑服务器早晨第一件事，登录ADM，投放广告！哈哈，第一次来，我给你redirect到CAS去！https://cas.company.com/login?service=http://adm/index.html没有传cookie过来？那去登录页面登录吧！用户名/密码电话密保ok，认证成功，我生成Cookie、TGT、ST，TGT我保存，Cookie,ST返回到浏览器,浏览器可以用ST访问ADM了。写Cookie到浏览器redirectST好，收到ST了，我去CAS验证一下service=http://adm/index.htmlticket=ST-5-qRPh34B1xhe4dquzzST验证成功，返回用户数据好，我生成用户对象，你可以到投放页面去了！服务器服务器便携电脑服务器再登录资产系统，看看资产吧！http://ams/index.html哈哈，第一次来，没有ST，去CAS申请一个吧！redirecthttps://cas.company.com/login?service=http://ams/index.htmlCASTGCTGCCookie传过来了，我验证一下是不是我生成的，哦，还真是，那我用TGT签发一